| Arik | Дата: Неділя, 13.07.2008, 13:43 | Повідомлення # 1 |
Admin
Группа: Адміністратори
Сообщений: 42
Репутация: 0
Статус: Offline
| Протягом минулої доби в системі інтернет-адресації була ліквідована фундаментальна помилка, експлуатація якої дозволяла зловмисникам підроблювати адреси веб-сайтів. Дана помилка стосувалася загальної реалізації системи доменних імен, а тому зажадала скоординованої дії всіх розробників серверного програмного забезпечення.
Власники Winodows-, Linux-, Unix- і Mac-серверів вже могли звернути увагу на те, що для їх систем з вчорашнього вечора доступна нова версія використовуваного DNS-сервера (наприклад Bind). Випустили оновлення і великі вендори мережевого устаткування, такі як Cisco.
Помилка, в результаті якої довелося "пропатчити інтернет", на технічному сленгу іменується, як "отруєння DNS-кеша". На практиці вона дозволяє підмінити ряд записів в DNS-серерверах таким чином, що б при наборі якої-небудь звичної адреси сайту, наприклад www.satellite.ipsys.net, користувач відправлявся прямо на сайт хакерів. Та ж небезпека стосується і трафіку електронної пошти. Ситуація ускладнюється тим, що даний баг є в чистому вигляді серверним, а тому як-небудь захиститися від нього з робочого комп'ютера неможливо.
Дана фундаментальна уразливість була виявлена ще в минулому році експертом компанії IO Active Деном Камінськи, проте зважаючи на її особливу небезпеку самі Камінськи і IO Active надали дані про неї тільки легітимним розробникам софтвера, а широка громадськість лише знала про факт якоїсь "серйозної" уразливості в DNS.
На практиці за допомогою даної помилки зловмисник, за наявності певних знань і вправності міг перенаправити важ трафік з якого-небудь домена, наприклад google.com, на сторонні сервери, внаслідок чого всі закриті дані, що передаються легальному сайту, опинялися в повному розпорядженні зловмисників.
Сам Ден Камінськи розповідає, що коли йому вдалося виявити вказану уразливість, то спочатку він повідомив про це в листи розсилки US CERT (U.S. Computer Emergency Readiness Team), а також в декілька крупних компаній, що проводять системне програмне забезпечення. Розуміючи серйозність ситуації, всі обізнані сторони погодилися тримати що є у них дані в секреті. У результаті в березні цього року в штаб-квартирі Microsoft відбулася зустріч 16 ведучих світових вендоров, де був вироблений план по виправленню помилки, а також затверджений графік випуску патчів або нових версій серверного ПО.
Учора увечері Microsoft разом з традиційним щомісячним набором виправлень, що випускається в перший вівторок кожного місяця, відновила систему управління доменними іменами в серверних Windows. Свої патчи отримали і користувачі устаткування Cisco. Також вчора на сайті Internet Systems Consortium була опублікована і нова версія системи Bind, одночасно з цим вийшли нові версії цього пакету для найбільших Linux-систем: Red Hat, Suse, Mandriva, Ubuntu і інших.
Сам Камінськи говорить, що не дивлячись на серйозність помилки, йому не вдалося виявити в мережі випадки використання даної проблеми. "Вендори досягли угоди, по якій зміни, внесені з сервери, практично не зачіпають роботу існуючих інфраструктур, але мінімізують можливість використання уразливості", - говорить він.
Декілька пояснимо суть помилки. Вся робота глобальної мережі фактично залежить від роботи доменної системи. Основне завдання системи доменних імен (DNS) полягає в перетворенні буквених доменів в їх числові аналоги або ip-адреси. Система фактично працює в дві сторони - тобто транслює домени в ip-адреси і навпаки. У глобальній мережі існують близько 200 000 середніх і крупних DNS-серверів, обслуговуючих мільйони користувачів проте вся доменна архітектура організована по ланцюжку, тобто дозвіл імен йде від кореневих серверів, але кожен DNS-сервер має свій головний сервер, з якого він отримує необхідні для роботи дані про домени і ip-адреси.
Ось в цьому-то механізмі і криється помилка. Механізм передачі доменній інформації і її ідентифікація є слабкою ланкою всієї системи DNS. Підлеглий сервер не може визначити, є видані на його запити DNS-дозволи легальними даним з авторітатівного сервера або це що згенерували хакером підроблена інформація. Для ідентифікації DNS-пакети використовують випадкові ідентифікаційні номери, але проблема в тому, що цих "випадкових" номерів, використовуваних як ідентифікатори, всього 65 000. Більш того, у кожного сервера є певна послідовність створення "випадкових" запитів, тому зловмисник може підроблювати "випадковий номер" і подати DNS-серверу невірну інформацію про домени і відповідні ним адреси.
Старший програмний менеджер Internet Systems Consortium Джоа Дамас говорить, що розробникам DNS-серверів довелося переглянути механізм генерації "випадкових номерів", щоб зняти ліміт в 65 000 послідовностей, а крім того, додати захисні механізми, що дозволяють серверу швидко "забути" некоректні дані. Крім цього, на сайті US CERT викладені і інші рекомендації по захисту - http://www.us-cert.gov/current....o_cache
|
| |
| |
