Интернет получает исправление, поскольку ошибка DNS исправлена ​​

Производители программного обеспечения, используемого для подключения компьютеров в Интернете, совместно выпущенные обновления программного обеспечения во вторник, чтобы исправить серьезную ошибку в одном из основных протоколов Интернета, системе доменных имен (DNS).

Ошибка был обнаружен «полной катастрофой» Дэна Каминского, исследователя с поставщиком безопасности IOActive. Камински, бывший сотрудник Cisco Systems, уже хорошо известен своей работой в области сетей.

Отправляя определенные типы запросов на DNS-серверы, злоумышленник может затем перенаправить жертвы с законного веб-сайта - скажем, Bofa.com - на злонамеренный веб-сайт без того, чтобы жертва осознала это. Этот тип атаки, известный как отравление кэша DNS, не влияет только на Интернет. Он может быть использован для перенаправления всего интернет-трафика на серверы хакера.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Ошибка может быть использована как «фишинг-атака» без отправки вам электронной почты, «сказал Вольфганг Кандек, главный технический директор службы безопасности Qualys.

Хотя этот недостаток влияет на некоторые домашние маршрутизаторы и клиентское DNS-программное обеспечение, это в основном проблема для корпоративных пользователей и интернет-провайдеров (интернет-провайдеров), которые используют DNS-серверы, используемые Камински сказал, что ПК находят свой путь в Интернете. «Домашние пользователи не должны паниковать, - сказал он во время телефонной конференции во вторник.

После обнаружения ошибки несколько месяцев назад Каминский немедленно собрал группу из примерно 16 экспертов по безопасности, отвечающих за продукты DNS, которые встретились в Microsoft 31 марта чтобы выработать способ решить проблему. «Я связался с другими парнями и сказал:« У нас проблема », - сказал Камински. «Единственный способ, которым мы могли бы это сделать, - это обеспечить одновременный выпуск на всех платформах».

Это массовое исправление ошибок произошло во вторник, когда некоторые из наиболее широко используемых поставщиков программного обеспечения DNS выпустили исправления. Microsoft, Cisco, Red Hat, Sun Microsystems и Консорциум программного обеспечения для Интернета, создатели наиболее широко используемого программного обеспечения DNS-сервера, обновили свое программное обеспечение для устранения ошибки.

BIND с открытым исходным кодом интернет-программного обеспечения (имя пользователя Berkeley Internet Name Домен) работает примерно на 80% DNS-серверов Интернета. Для большинства пользователей BIND исправление будет простым обновлением, но для примерно 15 процентов пользователей BIND, которые еще не перешли на последнюю версию программного обеспечения BIND 9, все может быть немного сложнее.

Это потому что более старые версии BIND имеют некоторые популярные функции, которые были изменены при выпуске BIND 9, по словам Жоао Дамаса, старшего менеджера программ для программного обеспечения Internet Software Consortium.

Ошибка Kaminsky связана с тем, как DNS-клиенты и серверы получают информацию от других DNS-серверов в Интернете. Когда программное обеспечение DNS не знает адрес IP-адреса компьютера (Internet Protocol), он запрашивает у этого DNS-сервера другой DNS-сервер. С отравлением кэша злоумышленник обманывает программное обеспечение DNS, полагая, что законные домены, такие как Bofa.com, сопоставляются с вредоносными IP-адресами.

Исследователи безопасности знают о путях запуска этих атак кеш-отравления на DNS-серверах в течение некоторого времени, но обычно эти атаки требуют, чтобы злоумышленники отправляли много данных на DNS-сервер, который они пытаются заразить, что делает атаки более легкими для обнаружения и блокировки. Однако Камински обнаружил гораздо более эффективный способ начать успешную атаку.

Потому что недостаток Каминского лежит в дизайне самого DNS, нет простого способа его исправить, сказал Дамас. Вместо этого такие компании, как ISC, добавили новую меру безопасности в свое программное обеспечение, что затрудняет работу с отравлением кешем.

В долгосрочной перспективе наиболее эффективным способом борьбы с отравлением кешем будет принятие более безопасного версия DNS, называемая DNSSEC, сказал Дэнни Макферсон, главный научный сотрудник компании Arbor Networks. Исправление вторника - это в основном «взлом, который делает его намного сложнее», - сказал он. «Но это не устраняет проблему с корнем».

Камински говорит, что он даст сетевым администраторам месяц для исправления своего программного обеспечения, прежде чем выявить дополнительные технические подробности об ошибке на конференции Black Hat в следующем месяце в Лас-Вегасе. Тем временем он опубликовал код на своем веб-сайте, который позволяет пользователям узнать, был ли исправлен их DNS-сервер или DNS-сервер.