Разработчики программ, используемых для связи компьютеров через Internet, 8 июля одновременно выпустили обновления, предназначенные для исправления серьезной ошибки в одном из базовых протоколов глобальной сети — системе доменных имен (DNS).
Ошибку «совершенно случайно» обнаружил исследователь фирмы IOActive, занимающейся вопросами компьютерной безопасности, Дэн Камински. Ранее он работал в Cisco Systems и хорошо известен своими трудами в области компьютерных сетей.
Ошибка приводит к тому, что, если злоумышленник отправит на сервер DNS серию определенным образом сформированных запросов, то его жертва вместо обычного сайта попадет, сама того не зная, на принадлежащий злоумышленнику поддельный сайт. Такой тип атак называется «отравлением кэша DNS» и затрагивает не только Web. C их помощью можно перенаправить на серверы хакеров любой вид трафика Internet.
На радость фишерам
«Использование злоумышленниками такой ошибки — все равно, что фишинг без необходимости отправки жертве электронной почты», — пояснил Вольфганг Кандек, технический директор фирмы Qualys, занимающейся вопросами компьютерной безопасности.
Хотя ошибка встречается и в некоторых моделях маршрутизаторов для домашнего пользования и в клиентских программах DNS, проблему она главным образом представляет для корпоративных пользователей и провайдеров Internet, у которых работают серверы DNS, помогающие компьютерам ориентироваться в сети Internet, поясняет Камински.
«Домашним пользователям паниковать не стоит», — заявил он на пресс-конференции во вторник.
Камински обнаружил ошибку несколько месяцев назад и немедленно собрал группу из 16 специалистов по продуктам для работы с DNS. 31 марта они встретились в Microsoft для обсуждения способов решения проблемы. «Я позвонил ребятам и сказал: «У нас возникла проблема», — рассказал Камински. — Единственный способ ее исправить — одновременно выпустить исправления для всех платформ».
Исправлено на 85%
8 июля несколько производителей наиболее распространенных программ для работы с DNS выпустили исправления. Обновления своих программ представили Microsoft, Cisco, Red Hat, Sun Microsystems и Internet Software Consortium — авторы наиболее широко используемого сервера DNS.
BIND (Berkeley Internet Name Domain), пакет разработки Internet Software Consortium с открытым кодом, работает примерно на 80% серверов DNS в сети Internet. Для большинства пользователей BIND исправление будет простым, но примерно 15% пользователей, которые еще не перешли на последнюю версию — BIND 9 — испытают затруднения.
Дело в том, что в старых версиях BIND присутствовал ряд популярных среди пользователей функций, которые были изменены в версии 9, пояснил старший руководитель проектов Internet Software Consortium Джоао Дамас.
Отравить и обмануть
Ошибка, открытая Камински, относится к способу получения серверами и клиентами DNS информации от других серверов DNS в Internet. Когда программа не знает цифрового IP-адреса другого компьютера, она запрашивает эту информацию у другого DNS-сервера. При «отравлении кэша» злоумышленник обманывает программу, подсовывая ей в качестве IP-адреса, соответствующего доменному имени законопослушного сайта, IP-адрес сервера злоумышленника.
Специалистам по безопасности были известны различные способы осуществления подобных атак против DNS-серверов, но, как правило, они требовали посылки DNS-серверу большого количества данных, что облегчало задачу обнаружения и блокирования атаки. Однако Камински обнаружил гораздо более эффективный способ проведения успешной атаки.
Поскольку найденная им ошибка кроется непосредственно в устройстве DNS, простого способа исправления ее не существует, как добавил Дамас. Взамен разработчикам из ISC и других компаний пришлось реализовать в программах меры безопасности, которые затрудняют проведение «отравления кэша».
Однако в долгосрочной перспективе наиболее эффективным способом предотвращения «отравления кэша» является переход на более безопасную версию DNS, под названием DNSSEC. Так считает директор по исследованиям фирмы Arbor Networks Дэнни Макферсон. Исправление, выпущенное 8 июля, — это, по его мнению, «не более чем полумера, серьезно затрудняющая проведение атаки. Но основную проблему оно не устраняет».
У системных администраторов есть месяц на то, чтобы обновить свои программы. Затем Камински собирается обнародовать подробности о найденной ошибке на конференции Black Hat, которая пройдет в следующем месяце в Лас-Вегасе. А сейчас на его Web-сайте размещен код, дающий пользователям возможность выяснить, исправлены ли уже DNS-серверы на их предприятии или у провайдера Internet.