Rosszul konfigurált DNS szerverek fenyegetik az Internetet

1. probléma
A domainneveket IP-címekre fordító DNS szerverek által használt BIND szoftver (melyet a domainnév feloldásra használnak) a vizsgált komputerek egyötödénél már elavult volt, állítja az a héten megjelent tanulmány, melyet a The Measurement Factory nevű, USA-beli vállalat készített. A 9-esnél korábbi változatok nyitva hagyják a pharming (egyfajta jelszóhalász próbálkozás) támadások előtt a kaput az úgynevezett „DNS cache poisoning” technika révén, állítja a tanulmány.

Ezzel az eljárással a támadó elérheti és átírhatja a DNS szerveren az ismert website-ok IP-címeit neki tetszőleges értékekre – nyilvánvalóan olyan módon, hogy az ismert URL-t begépelő internetező ne a megszokott oldalra, hanem egy másik site-ra jusson. Mivel a felhasználók többnyire nem fognak gyanút – a felkészült támadók ugyanis leutánozzák az eltérített website design-ját -, ezért sokkal könnyebben rávehetők személyes, titkos (például banki) adataik megadására. Ez a támadási forma természetesen arra is felhasználható, hogy a felhasználó számítógépére spyware-eket telepítsenek.

Thomas Kristensen, a dán, IT-biztonsággal foglalkozó Secunia képviseletében alátámasztotta, hogy a DNS szerverek durván 20 százalékán valóban idejét múlt szoftvereket futtatnak, de óvott a sebezhetőségek kockázatának túlbecslésétől. A BIND 8.x és 4.x verziói ugyanis a fent ismertetett módon nem támadhatók, közölte a szakértő.

2. probléma
A felmérés azonban rávilágított arra is, hogy az úgynevezett rekurzív névszolgáltatás szintén veszélyeket hordoz magában. Ezt az eljárást akkor használják a forward üzemmódban (is) működő DNS szerverek, ha a náluk található adatbázisban nem található a lekért weboldal IP-címe – ekkor a kérést továbbítják egy másik névszerver számára. Mindez egészen addig tart, amíg az egyik DNS szervernél rá nem akadnak a kívánt címre.

A The Measurement Factory 1,3 millió DNS szervert vizsgált át, és úgy találta, hogy több mint háromnegyedük minden kérelemnek eleget tesz a rekurzív névszolgáltatás tekintetében, érkezzen az akárhonnan is. A kutatást készítők szerint ez kockázati tényező, hiszen csak a megbízható felhasználóktól érkező kérelmeket kellene így kezelni. Egy elgondolás szerint ugyanis, ha egy hacker át tudta venni az ellenőrzést egy DNS szerver felett, akkor a szolgáltatás révén arra kényszeríthet más DNS szervereket, hogy vegyék fel a kapcsolatot a már sebezhető komputerrel – így pedig akár újabb DNS szervereket is megfertőzhet. Ezzel a technikával idővel egész sok számítógépet hajthat uralma alá a támadó.

3. probléma
A vizsgált DNS szerverek több mint 40 százalékáról kiderült, hogy bármilyen forrásból érkező zónaátviteli kérelmet engedélyeznek. Ez azért jelent gondot, mert – a jelentés szerint – emiatt szolgáltatásmegtagadásra (denial of service) irányuló támadásnak vannak kitéve a számítógépek, illetve ennek révén információkat lehet kiszivárogtatni a belső hálózatokról. Kristensen egyetértett azzal, hogy a szolgáltatás ilyen széleskörű engedélyezése rossz ötlet, és csak a belső ellenőrzés alatt álló, másodlagos névszerverek számára kellene lehetővé tenni.