neprihlásený Piatok, 19. apríla 2024, dnes má meniny Jela
Viacerí slovenskí ISP a Opera neopravili kritickú chybu v DNS, odporúčané nastavenia

Napriek tomu, že od oznámenia existencie veľmi vážnej chyby vo väčšine DNS implementácií 8. júla uplynuli viac ako dva týždne a od potvrdenia kritickosti tejto zraniteľnosti jej praktickým zverejnením už takmer týždeň, viacero slovenských významných poskytovateľov Internetu poskytuje svojim zákazníkom pravdepodobne zraniteľné DNS servery. Zraniteľné servery používa dokonca aj Opera pre svoj prehliadač Opera Mini a vystavuje tak potenciálne útokom hackerov desiatky miliónov užívateľov.

DSL.sk, 27.7.2008


Hoci od oznámenia existencie kritickej chyby vo väčšine DNS implementácií vyplývajúcej zo zraniteľnosti návrhu samotného DNS štandardu a vydania aktualizácií pre všetky najpoužívanejšie DNS servery už uplynuli viac ako dva týždne, viacero významných slovenských poskytovateľov pripojenia k Internetu poskytuje svojim zákazníkom pravdepodobne zraniteľné DNS servery.

Zraniteľnosť v DNS

Na začiatku tohto roka identifikoval Dan Kaminsky kritickú zraniteľnosť väčšiny DNS implementácií vyplývajúcu zo samotného návrhu DNS štandardu. Zraniteľnosť je typu DNS cache poisoning, umožňuje teda podvrhnúť rekurzívnym DNS serverom, ktoré prekladajú DNS mená na IP adresy pre klientov a užívateľov, falošné záznamy a presmerovať tak užívateľov na servery útočníka.

Zraniteľnosť a efektívny útok navrhnutý Kaminskym sú pomerne triviálne a spájajú dva doteraz a v minulosti samostatne používané typy útokov typu DNS cache poisoning.

Útok sa snaží sfalšovať odpoveď autoritatívneho DNS servera, ktorú si napádaný rekurzívny DNS server vyžiada pre preklad DNS mena. Na ochranu DNS používajúceho UDP pred podvrhnutím takejto falošnej odpovede sa používa 16-bitové náhodné ID, ktoré útočník nepozná. Na súčasnom Internete útočník stihne odoslať do prijatia odpovede od originálneho DNS servera v závislosti na viacerých okolnostiach pri typickom útoku len niekoľko až niekoľko desiatok falošných odpovedí, šanca uhádnutia správneho ID sa tak pohybuje typicky na úrovni 1 : 1000 až 1 : 10000.

Doterajšie priame útoky sa snažili priamo podvrhnúť odpoveď s DNS záznamom typu A obsahujúcim IP adresu pre doménu, ktorej falošný záznam sa snažili podvrhnúť. Mohli tak útočiť len na aktuálne napádaným DNS serverom nenacachované DNS meno, keďže pri nacachovanom zázname im rekurzívny DNS server priamo vrátil nacachovanú hodnotu. Ak útočník neuhádol správne ID, server si opäť nacachoval originálnu odpoveď a útok bolo možné opakovať až po expirácii záznamu, typicky po hodine alebo niekoľkých hodinách. Útoky tohto typu tak neboli dostatočne efektívne.

V DNS odpovedi môžu byť okrem samotného záznamu, ktorý si dotazujúci rekurzívny DNS vyžiadal, uvedené aj ďalšie záznamy v sekcii autoritatívnych a dodatočných záznamov. Tieto sú v niektorých prípadoch nevyhnutné pre funkčnosť samotného DNS, napríklad pri uvedení DNS servera pre doménu v podobe DNS mena z tejto domény namiesto číselnej IP adresy. V dodatočných záznamoch odpovede nadradeného DNS servera sa tak uvádza aj IP adresa tohto DNS servera pre danú doménu, ktorú by nebolo možné inak získať.

V súčasnosti DNS servery akceptujú záznamy z týchto dvoch doplňujúcich sekcií odpovede len v prípade, že sa týkajú domény, pre ktorú bol položený dotaz a DNS server je oprávnený odpovedať. Presnejšie ak bol dotaz uskutočnený napríklad pre doménu a.domena.sk, dodatočné záznamy sú platné pre doménu domena.sk a jej poddomény. V začiatkoch rozšírenia Internetu viacero DNS implementácií dokonca túto kontrolu nevykonávalo, po objavení sa reálnych útokov bola ale zavedená.

Útok navrhnutý Kaminskym spája tieto dva typy útokov, háda ID DNS transakcie a zároveň využíva nastavovanie záznamov pomocou autoritatívnych a dodatočných záznamov. Podľa dostupných informácií útoky takéhoto typu v minulosti neboli uskutočňované.

Ak chce útočník na napádanom rekurzívnom DNS serveri prestaviť záznamy pre doménu domena.sk, požiada ho o preklad napríklad neexistujúcej domény d00001.domena.sk a snaží sa uhádnuť ID skôr ako príde rekurzívnemu DNS serveru správna odpoveď od DNS servera pre doménu domena.sk. Ak sa mu to nepodarí, môže pokus hneď opakovať s doménou d00002.domena.sk a následne d00003, d00004, atď. Ak sa pri niektorom dotaze podarí uhádnuť ID transakcie a podstrčiť falošnú odpoveď, pomocou autoritatívnych a dodatočných záznamov môže útočník vložiť do cache DNS servera údaje pre domena.sk alebo zmeniť niektoré údaje, ak sú nacachované.

Podľa viacerých informácií, ktoré zverejnili Dan Kaminsky a autori prvých exploitov, sa novým útokom dá typicky podvrhnúť záznam reálne do desať až niekoľko desiatok sekúnd.

Dosah zraniteľnosti a útokov

V prípade, že doména aktuálne nie je nacachovaná, je možné útokom podstrčiť pre doménu ľubovoľný DNS záznam s ľubovoľnou dobou expirácie a pravdepodobne si tak udržať dlhodobú kontrolu nad nacachovanými DNS záznamami pre doménu na napadnutom DNS serveri.

Podľa informácií autorov Metasploitu väčšina DNS implementácií záznamy typu A z dodatočných sekcií nepoužije, ak je doména už nacachovaná. Záznamy typu NS, teda informácie o menných serveroch pre doménu, sa ale podľa autorov Metasploitu v cache typicky prepíšu aj v prípade, že už sú nacachované. Zrejme je tak možné takýmto spôsobom efektívne útočiť aj na nacachované domény, detailná analýza správanie jednotlivých implementácií v prípade nacachovaných záznamov zatiaľ nie je k dispozícii.

Podľa Roya Arendsa by útok mal byť použiteľný u väčšiny implementácií aj pri podstrčení záznamov pre domény najvyššej úrovne a útočník tak potenciálne môže prestaviť na napadnutom DNS serveri menné servery pre domény .com, .sk, .cz a iné domény najvyššej úrovne. Tieto záznamy sú ale pravdepodobne cachované na každom väčšom DNS serveri prakticky neustále, reálnosť tejto možnosti tak závisí na efektivite útoku voči nacachovaným záznamom.

Útočníci pri dosiahnutí nacachovanie vlastnej IP adresy alebo vlastného DNS servera pre doménu docielia, že užívatelia používajúci daný DNS server navštívia namiesto návštevy originálnych serverov pre danú doménu servery útočníkov.

Citlivé informácie by mali užívatelia zadávať vždy len na SSL zabezpečených stránkach, ktoré zmenou DNS záznamov útočníci nedokážu pre absenciu privátneho kľúča k SSL certifikátu dôveryhodne napodobniť. Efektívnym útokom je ale podstrčenie nezabezpečenej stránky namiesto stránok, ktoré majú byť zabezpečené.

Ak napríklad užívateľ pristupuje k stránkam internetbankingu najskôr cez nezabezpečenú verziu stránok banky a na bezpečnú verziu sa dostane až kliknutím na linku, útočník môže podstrčiť na svojich serveroch kópiu stránky, z ktorej odkazy budú smerovať len na nezabezpečené stránky. Ak si užívateľ nevšimne, že prihlasovacie údaje zadáva do nezabezpečenej stránky, zašle prihlasovacie údaje útočníkom.

Podstrčenie nesprávnych IP adries útočníkovi pri nepoužívaní SSL umožňuje aj kontrolu napríklad nad emailovou komunikáciou užívateľov napadnutého DNS servera.

Zraniteľnosť je tak mimoriadne vážna, hoci u konkrétneho DNS servera závisí na tom, ako efektívne je možné podstrčiť IP adresy pre už nacachované domény, a prípadne koľko požiadaviek prichádza na server v nočných hodinách respektíve aké záznamy zostávajú v cache daného DNS servera v časoch typicky medzi 3:00 a 6:00 ráno, kedy je cache najmenej zaplnená.

Pri používaní zraniteľného DNS servera si užívateľ ale celkovo nemôže byť okrem SSL stránok istý, že je skutočne na serveroch prevádzkovateľa danej domény.

Riešenie

Všetky prvé aktualizácie pre najznámejšie DNS implementácie znížili šance útočníkov uhádnuť ID DNS transakcie znáhodnením a kontrolou UDP portu používaného pri posielaní DNS dotazu. Podľa implementácie sa používa 2 048 až 16 384 portov, teda toľkokrát sa zvýšil priemerný počet potrebných paketov zasielaných útočníkom a predĺžil čas potrebný na uhádnutie správneho ID.

Hoci čas na uskutočnenie nového typu útoku na DNS servery používajúce náhodné porty je na úrovni realizovateľných desiatok hodín, pri útoku musí útočník typicky ale poslať až miliardu falošných DNS odpovedí, teda miliardu UDP paketov. To predstavuje rádovo 50 GB dát, útoky sú tak ľahko identifikovateľné alebo ťažko efektívne zrealizovateľné.

Zraniteľné DNS servery

Bohužial viac ako dva týždne od oznámenia existencie tejto kritickej zraniteľnosti naďalej používajú pevný zdrojový UDP port desiatky DNS serverov na Slovensku.

Keďže doteraz nebola navrhnutá žiadna efektívna ochrana okrem používania náhodného portu, tieto DNS servery sú pravdepodobne jednoducho napadnuteľné novým útokom. Toto sme ale samozrejme nepotvrdzovali uskutočnením reálneho útoku.


Zoznam najčastejšie používaných pravdepodobne zraniteľných DNS návštevníkmi DSL.sk

* - IP servera sa podľa RIPE nachádza v rozsahu daného ISP, nie je potvrdený prevádzkovateľ DNS
** - 88.212.20.253 používal štyri zdrojové porty
*** - DNS servery používané viacerými menšími ISP
**** - Podľa DNS mena prevádzkuje DNS server ISP pred lomítkom, IP leží v rozsahu patriacom podľa RIPE ISP za lomítkom
***** - Orange prevádzkuje aj korektný 213.151.208.161, ktorý používa viac užívateľov



V tabuľke je možné nájsť zoznam rekurzívnych DNS serverov, ktoré používali návštevníci DSL.sk v sobotu 26. júla 2008 v podvečerných a večerných hodinách a ktoré používajú jeden alebo niekoľko málo zdrojových portov. Tieto DNS servery sú tak pravdepodobne zraniteľné a ich používanie nie je odporúčané.

Zoznam je zoradený postupne podľa počtu užívateľov, ktorí v čase zberu dát používali tento DNS server. Ako prvý je najpoužívanejší z nich.

Okrem IP adresy DNS servera tabuľka obsahuje aj ISP, v ktorého sieťovom bloku sa táto IP nachádza, DNS meno tohto servera ak je známe, počet rozličných používaných zdrojových portov v čase zbierania dát.

Položka Open znamená, či server prekladá aj dotazy zaslané z iných sietí ako je sieť daného ISP. U otvorených DNS serverov je možné jednoduchšie napadnúť útočníkom odkiaľkoľvek z Internetu, keďže je možné priamo zasielať DNS dotazy, odpovede na ktoré sa bude pokúšať útočník sfalšovať. U ostatných DNS serverov je tieto možné napadnúť z pripojenia daného ISP a to samozrejme aj z útočníkom na diaľku ovládaného PC, alebo nepriamejšími metódami podvrhovania DNS mien napríklad na webových stránkach pod kontrolou útočníkov.

U niektorých DNS serverov sa nám nepodarilo pozitívne identifikovať, kto prevádzkuje daný DNS server, a podľa dostupných informácií nebolo možné overiť, že ide o vonkajšiu IP adresu primárneho DNS servera používaného zákazníkmi daného ISP. V niektorých prípadoch sa ale nepodarilo vôbec identifikovať primárny DNS server používaný zákazníkmi daného ISP. Takéto DNS servery potenciálne môže prevádzkovať aj nejaký zákazník daného ISP alebo ich prevádzkuje samotný ISP, označené sú jednou hviezdičkou.

DNS servery ns.energotel.sk a ns.zt.sk podľa IP adries užívateľov, ktorí daný DNS server používajú, používajú priamo alebo sprostredkovane zákazníci viacerých menších ISP, ktorí pravdepodobne od týchto dvoch spoločností odoberajú konektivitu. V prípade ns.energotel.sk bolo v čase zberu údajov zaznamenané používanie zákazníkmi zrejme viac ako desiatich menších poskytovateľov.

DNS server 194.154.230.80 T-Mobile nastavuje podľa dostupných informácií cez DHCP napríklad u pripojenia cez Flarion.

Zaujímavým prípadom je DNS server 195.189.142.36, ktorý používa Opera pri preklade domén navštevovaných cez klienta Opera Mini minimálne pri používaní Opera Mini zo Slovenska. Tohto klienta používa mesačne podľa štatistík Opery 20 miliónov užívateľov, ktorí sú tak pravdepodobne v ohrození. Reálna zneužiteľnosť chyby je tu zrejme menšia ako pri používaní desktopových prehliadačov, je tu ale zrejme výrazne vyšší počet používateľov ako počet používateľov ľubovoľného iného zraniteľného DNS servera.

Ostatní slovenskí veľkí ISP používajú DNS servery, ktoré už používajú náhodný zdrojový port. Pozitívne boli identifikované ako aktualizované napríklad DNS servery Slovak Telekomu, GTS Nextra, UPC, Slovanet. Najčastejšie používaný DNS server Orangeu 213.151.208.161 rovnako nie je zraniteľný.

Odporúčané nastavenia

Pre užívateľov, ktorých poskytovateľ pripojenia stále neposkytuje nezraniteľný DNS server, je odporúčané pre predídenie rizika zmeniť DNS server.

Ak to jednoznačne nevyplýva z uvedených informácií, užívateľ môže zistiť aký rekurzívny DNS server reálne používa a či je zraniteľný na doxpara.com testovacím nástrojom na pravej strane stránky.

Medzi návštevníkmi DSL.sk je často používaný DNS server OpenDNS, ktorý v čase zberu údajov bol celkovo deviatym najpoužívanejším návštevníkmi DSL.sk spomedzi nezraniteľných DNS serverov.

      Zdieľaj na Twitteri


Ktorý globálny bezpečnostný problém Internetu objavený v posledných mesiacoch bol podľa Vás vážnejší? (hlasov: 348)

Problém s častými slabými RSA kľúčmi SSL certifikátov      32%
Aktuálna zraniteľnosť v DNS      68%


Najnovšie články:

V najbližších dňoch bude spustený nový vysielač digitálneho rádia
Seriál Fallout podľa počítačovej hry bude mať pokračovanie
Budúci týždeň budú vydané dve dôležité linuxové distribúcie
Špehovacie satelity SpaceX už snímkujú Zem, s vyšším rozlíšením ako doterajšie
Linux si na PC drží podiel 4%
AI výkon tohtoročnej generácie Intel CPU bude vyšší ako 100 teraops/s
Apple bude mať nový seriál o alternatívnom sovietskom vesmírnom programe, predĺžila For All Mankind
Pôsobivého dvojnohého robota Atlas nahradí úplne nová elektrická verzia
O2 spustilo predaj na diaľku. Namiesto eID sa fotí tvár a občiansky, nedá sa objednať eSIM ani predplatenka
Klon populárnej databázy Redis od Linux Foundation k dispozícii v prvej verzii


Diskusia:
                               
 
och RSA
Od: RSA | Pridané: 27.7.2008 16:22

Ten RSA bug bol mega podľa mňa! aj srandovný!
Toto s DNS nie je moc prekvapenie, arch protokol :-P
Odpovedať Známka: 10.0 Hodnotiť:
 
dnes má meniny Božena
Od: tri znaky | Pridané: 27.7.2008 16:28

su
apt-get upgrade
Odpovedať Známka: -1.1 Hodnotiť:
 
Re: dnes má meniny Božena
Od: --- | Pridané: 28.7.2008 7:58

zial nie vsetci isp pouzivaju debian based distra
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: dnes má meniny Božena
Od reg.: cinko | Pridané: 30.7.2008 13:13

nooo nie vseobecne nie vsetci providery pouzivaju linux...
Odpovedať Hodnotiť:
 
Dobrá práce
Od: Accuphose+ | Pridané: 27.7.2008 16:42

10 bodů pro DSL.
Odpovedať Známka: 6.7 Hodnotiť:
 
Re: Dobrá práce
Od: LK001 | Pridané: 28.7.2008 9:23

Z kolkatich ;)
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Dobrá práce
Od: iguso | Pridané: 28.7.2008 12:59

z 9, presnejsie 9.0 vdaka fasa "redakcnemu systemu" desatinnych nezmyslobodiek =)
Odpovedať Známka: 3.3 Hodnotiť:
 
DNS..
Od: neX | Pridané: 27.7.2008 20:31

ja pouzivam OpenDNS a som spokojny
Odpovedať Známka: 5.0 Hodnotiť:
 
Hm, opera
Od: JFK...... | Pridané: 27.7.2008 23:44

Tak ta skvela Opera ani neopravuje chyby... Esteze mame Mozillu.
Odpovedať Známka: -2.5 Hodnotiť:
 
Re: Hm, opera
Od reg.: Tomas85m | Pridané: 28.7.2008 0:01

inac jedná sa o operu mini, nie o desktopovu verziu
Odpovedať Známka: 2.0 Hodnotiť:
 
Re: Hm, opera
Od: miso__ | Pridané: 28.7.2008 20:34

jedna sa o dns server ktory pouzivaju ludia ktory browsuju cez operu mini, nie o chybu v opere mini
Odpovedať Hodnotiť:
 
Re: Hm, opera
Od: 0dee | Pridané: 29.7.2008 13:10

esteze mas Mozillu mini ty lolko :-D
Odpovedať Hodnotiť:
 
mozila smejd
Od: asd | Pridané: 28.7.2008 7:28

a vies co si mozes zo svojou mozilou na mobile
Odpovedať Známka: 0.0 Hodnotiť:
 
openDNS
Od reg.: niner | Pridané: 28.7.2008 9:43

k prechodu na open dns ma prinutili vypadky na tmobile dns, bezne sa stavalo ze mi stiahlo postu (mail severy mam na pevne IPecky) a nefungoval mi web, po zmene dns na opendns vsetko slapalo hned a bez problemov.

myslim ze pre beznych navstevnikov by nebolo odveci spravit clanok ako si zmenit IPcku svojho dns, lebo nie kazdy to vie..

no a k mobilnemu firefoxu.. zatial sice nie je ale planuje sa.. co sa tyka kvality tak opera zdaleka nie je jediny kvalitny prehliadac pre mobily, pomerne slusnym je aj netfront a to by bol niekto prekvapeny v kolkych dumb telefonoch je integrovany.. predovsetkym SE ho integruje dost casto.. vo verzii 3.5 moze opere 9.5 slusne konkurovat a dovolim si tvrdit ze niektore veci ma lepsie riesene.. jedine navyhoda je voci opere mini a to je fakt ze nepouziva komprimacny server na optimalizaciu datoveho prenosu
Odpovedať Známka: 10.0 Hodnotiť:
 
88.212.1.2
Od: extel | Pridané: 28.7.2008 11:09

Nie Antik, ale Extel.

ns.extel.sk has address 88.212.1.2
2.1.212.88.in-addr.arpa domain name pointer ns.extel.sk.

Odpovedať Hodnotiť:
 
Re: 88.212.1.2
Od reg.: Redakcia DSL.sk | Pridané: 28.7.2008 11:31

Ďakujeme za informáciu, bola doplnená.

(Len pre spresnenie: Stav DNS serverov označených jednou hviezdičkou je vysvetlený v poznámkach. Neznamená, že daný DNS server určite prevádzkuje daný ISP, ale že sa nachádza v bloku podľa RIPE patriacom danému ISP.)
Odpovedať Hodnotiť:
 
Energotel
Od reg.: Propediotika | Pridané: 28.7.2008 11:09

Tak ako pisete v clanku, tak aj ja mam internet od mensieho poskytovatela, ktory ho ma od Energotelu. Je tu vsak mensi problem v tom, ze Energotel nepovoluje pouzivat iny dns server ako ten ich.
Odpovedať Hodnotiť:
 
opendns
Od reg.: kane777 | Pridané: 28.7.2008 11:22

ja mam openDNS nastavene ako zalozne dns, v pripade ze providerove nefunguju tak kontaktuje opendns, ale vzhladom na to ze este stale ta bezpecnostna chyba nie je opravena prejdem na openDNS..
Odpovedať Hodnotiť:
 
T-Com
Od: aleluja | Pridané: 28.7.2008 12:27

T-Com je bezpecny v tomto?
Odpovedať Hodnotiť:
 
Re: T-Com
Od: Meno1 | Pridané: 28.7.2008 12:47

Asi ano.
Odpovedať Hodnotiť:
 
Re: T-Com
Od reg.: Kveri | Pridané: 28.7.2008 16:56

urcite ano chod na doxpara.com a uvidis
Odpovedať Hodnotiť:
 
Re: T-Com
Od: aleluja | Pridané: 28.7.2008 23:16

Co tam je ?
Odpovedať Hodnotiť:
 
Energotel
Od: Karolko K | Pridané: 28.7.2008 14:30

Radsej vyuzivam sluzieb OpenDNS ako EnergotelDNS. Bodka.
Odpovedať Hodnotiť:
 
Re: Energotel
Od reg.: Propediotika | Pridané: 28.7.2008 22:16

Si si isty, ze mozes vyuzivat iny dns server ako ten energotelacky?
Odpovedať Hodnotiť:
 
Re: Energotel
Od: Karolko K | Pridané: 28.7.2008 22:20

Ano som kedze momentalne mam nastavene OpenDNS
Odpovedať Hodnotiť:
 
Re: Energotel
Od reg.: Propediotika | Pridané: 29.7.2008 14:11

Nastavene mam aj ja, ale aj tak sa pouzivaju dns energotelu. Skus ist na welcome.opendns.com, ze ci ti to napise, ze pouzivas opendns.
Odpovedať Hodnotiť:
 
Orange
Od: userko4 | Pridané: 28.7.2008 16:06

Orange na Fibernete cez DHCP prideluje DNS 213.151.200.3 a 213.151.200.30, ten server 213.151.200.31 sa asi velmi nepouziva - pravdepodobne nan zabudli.
Odpovedať Hodnotiť:
 
Re: Orange
Od: brigádnik Horendž | Pridané: 28.7.2008 19:56

aha fakt, dobre že si mi to pripomenul, idem to hneď napraviť :D
(joke)
Odpovedať Hodnotiť:
 
Re: Orange
Od: userko4 | Pridané: 29.7.2008 21:58

ooo, dakujem :) uz je aj "31-tka" OK podla testu https://www.dns-oarc.net/oarc/services/dnsentropy

213.151.200.31 Transaction ID Randomness: GREAT
Odpovedať Hodnotiť:
 
Problemy s DNS
Od: Jan Amos | Pridané: 2.8.2008 21:02

Zdravim,
mam pripojenie DSL od T-COM asi posledne dva dni mam problemy s tym, ze mi nechce nacitavat stranky, nacita len niektore slovenske, ceske a dalsie zahranicne nenacita vobec, len vypise ze stranka sa neda najst. Neviete mi povedat ci je problem niekde u mna, alebo je problem na strane T-comu
Odpovedať Hodnotiť:
 
Re: Problemy s DNS
Od: TermiTaK | Pridané: 3.8.2008 13:44

Toto by zaujimalo i mna, tiez mam ten isty problem. Inak k tomu OpenDNS, neviete nejaky jednoduchy navod ako si to nastavit ?? Moc sa v tom totiz nevyznam. Dakujem

Odpovedať Hodnotiť:
 
Re: Problemy s DNS
Od: Bozzzz | Pridané: 22.8.2008 19:01

zavolajte do T-comu na technicku podporu že ked to nepojde do 10 minut tak tam pošleme Bozza
Odpovedať Hodnotiť:

Pridať komentár