Každý čtvrtý DNS server je stále zranitelný vůči Kaminskému útoku

David Budai, 13. listopad 2008 01:20 0 komentářů
Rubriky: Security, Internet

Lupa
Podle posledního výzkumu společnosti The Measurement Factory je čtvrtina DNS serverů stále zranitelná vůči útoku, který před několika měsíci objevil bezpečnostní expert Dan Kaminski. Útokům typu DDoS se neubrání dokonce 40 procent serverů. Tato alarmující čísla jsou dána nejen samotnou povahou starého DNS protokolu, ale také samotnými firmami, které z mnoha důvodů neprovádějí aktualizace svých serverů.

0101

Když Dan Kaminsky, bývalý zaměstnanec společnosti Cisco, v srpnu tohoto roku zveřejnil bezpečnostní trhlinu u DNS serverů, prolétly tyto informace snad všemi významnými médii. Hovořilo se dokonce o bezpečnostní hrozbě desetiletí a jejím možném katastrofickém dopadu na celý internet. Útok typu „cache poisioning“ je známý již dlouhou dobu, ale Kaminsky přišel na mnohem snadnější způsob, jak ho využít právě proti DNS serverům.

Měsíce uplynuly a zmíněný výzkum naznačuje, že příliš mnoho kroků směrem k zabezpečení učiněno nebylo. Miliony serverů na internetu jsou tak stále snadno zranitelné, jednak vůči Kaminskému útoku, ale také vůči distribuovaným útokům na odepření služby (DDoS). Mnoho z nich totiž stále nevyužívá randomizace portů (Port Randomization), která by těmto útokům měla zabránit, nebo zbytečně umožňuje vyřizovat rekurzivní požadavky.

„Vyřizování rekurzivních požadavků představuje velké nebezpečí. Útočník toho může snadno využít k oklamání DNS serveru, který pak bude uživatelům nabízet zaměněná data,“ říká Paul Parisi, CTO společnosti DNSstuff. Jiný výzkum provedený touto společností potvrzuje výše uvedená fakta s tím, že 31 procent účastníků zatím neprovedlo potřebné záplatování serverů nebo nemělo dostatečné technické znalosti k jejich provedení. „Je to udivující, vzhledem k tomu, jaká pozornost byla tomuto problému věnována.“

V době vzniku DNS byla bezpečnost druhořadá

Tvůrce DNS Paul Mockapetris říká, že když v 80. letech protokol psal, byla stránka bezpečnosti úmyslně vypuštěna s tím, že bude včleněna později. Tímto zabezpečením by měl být standard DNSSEC, což je bezpečnostní rozšíření DNS. Uživatelům poskytne jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena.

Problémem však podle Mockapetrise bude rozšíření DNSSEC. První zmínky o této technologii se sice objevily už před mnoha lety a nyní už je prakticky připravena na implementaci, mnoho organizací však prý odrazuje její složitost nebo nedostatečná informovanost.

Česká republika se mezi státy využívající DNSSEC zařadila v září, po prvním měsíci provozu je tímto způsobem chráněno už 245 domén.

Přečtěte si také


Vint Cerf: Internet čekají velké změny
CZ.NIC zavede technologii DNSSEC v Česku
Trojský kůň jako nový bankovní lupič


Komentáře

RSS 

Komentujeme

Sociální sítě pro B2B? Bláznovství!

Richard Jan Voigts , 17. květen 2017 07:00
Richard Jan Voigts

Agentura Ami Digital provedla průzkum ohledně využívání sociálních sítí v České republice. Ami Digit...

Více





RSS 

Zprávičky

Hodnota bitcoinu stoupla na nový rekord přes 2100 dolarů

ČTK , 22. květen 2017 18:49

Posilování napomáhají mj. spekulace, že americká Komise pro cenné papíry a burzy (SEC) by mohla změn...

Více 0 komentářů

Firewall pro koncentraci VPN

Pavel Houser , 22. květen 2017 17:29

Zyxel Communications představil hardwarový VPN firewall USG2200-VPN. Zákazníkům má toto řešení přiné...

Více 1 komentářů

ČTU hájí novelu zákona o přechodu na DVB-T2

Pavel Houser , 22. květen 2017 14:47

Přechod na nový standard bude spojen s náklady na straně spotřebitele....

Více 0 komentářů

Starší zprávičky

V Česku využívají satelitní pirátský příjem desítky tisíc lidí

ČTK , 22. květen 2017 10:53

Evropský soudní dvůr ale nedávno rozhodl, že prodávat multimediální přehrávače umožňující pirátský s...

Více 2 komentářů

Fond získal téměř 100 miliard dolarů pro technologické investice

ČTK , 22. květen 2017 08:00

Softbank Vision Fund chce investovat do oborů, jako je umělá inteligence nebo robotika. Peníze získa...

Více 0 komentářů

Apple I v Kolíně nad Rýnem vydražili za 110 000 eur

ČTK , 21. květen 2017 09:38

V podobně dobrém stavu se ve světě vyskytuje jen osm těchto přístrojů....

Více 0 komentářů

Rekordní pokuta za spam

Pavel Houser , 20. květen 2017 11:00

Na některé adresy byla obchodní sdělení doručena v řádech několika desítek obtěžujících e-mailů....

Více 2 komentářů