Každý čtvrtý DNS server je stále zranitelný vůči Kaminskému útoku

David Budai, 13. listopad 2008 01:20 0 komentářů
Rubriky: Security, Internet

Lupa
Podle posledního výzkumu společnosti The Measurement Factory je čtvrtina DNS serverů stále zranitelná vůči útoku, který před několika měsíci objevil bezpečnostní expert Dan Kaminski. Útokům typu DDoS se neubrání dokonce 40 procent serverů. Tato alarmující čísla jsou dána nejen samotnou povahou starého DNS protokolu, ale také samotnými firmami, které z mnoha důvodů neprovádějí aktualizace svých serverů.

0101

Když Dan Kaminsky, bývalý zaměstnanec společnosti Cisco, v srpnu tohoto roku zveřejnil bezpečnostní trhlinu u DNS serverů, prolétly tyto informace snad všemi významnými médii. Hovořilo se dokonce o bezpečnostní hrozbě desetiletí a jejím možném katastrofickém dopadu na celý internet. Útok typu „cache poisioning“ je známý již dlouhou dobu, ale Kaminsky přišel na mnohem snadnější způsob, jak ho využít právě proti DNS serverům.

Měsíce uplynuly a zmíněný výzkum naznačuje, že příliš mnoho kroků směrem k zabezpečení učiněno nebylo. Miliony serverů na internetu jsou tak stále snadno zranitelné, jednak vůči Kaminskému útoku, ale také vůči distribuovaným útokům na odepření služby (DDoS). Mnoho z nich totiž stále nevyužívá randomizace portů (Port Randomization), která by těmto útokům měla zabránit, nebo zbytečně umožňuje vyřizovat rekurzivní požadavky.

„Vyřizování rekurzivních požadavků představuje velké nebezpečí. Útočník toho může snadno využít k oklamání DNS serveru, který pak bude uživatelům nabízet zaměněná data,“ říká Paul Parisi, CTO společnosti DNSstuff. Jiný výzkum provedený touto společností potvrzuje výše uvedená fakta s tím, že 31 procent účastníků zatím neprovedlo potřebné záplatování serverů nebo nemělo dostatečné technické znalosti k jejich provedení. „Je to udivující, vzhledem k tomu, jaká pozornost byla tomuto problému věnována.“

V době vzniku DNS byla bezpečnost druhořadá

Tvůrce DNS Paul Mockapetris říká, že když v 80. letech protokol psal, byla stránka bezpečnosti úmyslně vypuštěna s tím, že bude včleněna později. Tímto zabezpečením by měl být standard DNSSEC, což je bezpečnostní rozšíření DNS. Uživatelům poskytne jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena.

Problémem však podle Mockapetrise bude rozšíření DNSSEC. První zmínky o této technologii se sice objevily už před mnoha lety a nyní už je prakticky připravena na implementaci, mnoho organizací však prý odrazuje její složitost nebo nedostatečná informovanost.

Česká republika se mezi státy využívající DNSSEC zařadila v září, po prvním měsíci provozu je tímto způsobem chráněno už 245 domén.

Přečtěte si také


Vint Cerf: Internet čekají velké změny
CZ.NIC zavede technologii DNSSEC v Česku
Trojský kůň jako nový bankovní lupič


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

EK prý zvažuje legislativní kroky v boji proti projevům nenávisti

ČTK , 24. duben 2017 16:00

Evropská komise zvažuje legislativní kroky k harmonizaci metod, kterými internetové platformy jako F...

Více 2 komentářů

Rusko prý špehovalo e-maily příslušníků dánské armády

ČTK , 24. duben 2017 14:00

Rusko pomocí skupiny hackerů proniklo do systémů dánské armády a v letech 2015 a 2016 mělo přístup k...

Více 1 komentářů

Philipsu vzrostl čtvrtletní zisk o 18 %, překonal očekávání

ČTK , 24. duben 2017 11:43

Nizozemskému výrobci elektroniky Philips se zvýšil čtvrtletní zisk o 18 procent na 442 milionů eur (...

Více 0 komentářů

Starší zprávičky

Baterie se vozí loděmi, jsou kvůli tomu dražší?

Pavel Houser , 24. duben 2017 10:47

Dříve byly akumulátory přepravovány jako běžné zásilky, před 5 lety ale byly přeřazeny do kategorie ...

Více 2 komentářů

FabLab: brněnská dílna pro start-upy i technické nadšence

Pavel Houser , 23. duben 2017 09:00

3D dílna nabízí např. laserovou řezačku, 3D tiskárny a 3D skener. FabLab Brno je součástí celosvětov...

Více 0 komentářů

3 % Čechů již byla okradena při platbách online

Pavel Houser , 22. duben 2017 12:00

Ve většině případů šlo o částku do 5 000 Kč....

Více 0 komentářů

Senát zrušil plošné výjimky ze zveřejňování smluv v registru

ČTK , 22. duben 2017 10:00

Senát dnes schválil zrušení plošných výjimek ze zveřejňování smluv v jejich registru. Postavil se dn...

Více 0 komentářů