DNS-hul kunne være endt i internet-ragnarok

Sikkerhedsbristen i internettets grundpille, DNS-protokollen, blev i går på Black Hat præsenteret af sikkerhedsekspert Dan Kaminsky, der opdagede hullet. Mulighederne for hackere var særdeles omfattende, hvis de var kommet på ideen først.

Der var ikke mangel på dystre perspektiver, da Dan Kaminsky fra sikkerhedsfirmaet IOActive i går på sikkerhedskonferencen Black Hat i Las Vegas gav sin længe ventede forklaring på, hvad DNS-sårbarheden gik ud på. Det skriver TGDaily.com.

Havde hackere selv fundet frem til hullet, ville de kunne gå ind og omdirigere trafik efter eget ønske, læse og ændre e-mails og skaffe alskens passwords via ?Jeg har glemt mit password?-funktionen, der sender en e-mail tilbage.

Men heldigvis var det en sikkerhedsekspert, og ikke en hacker, der for fem måneder siden fandt hullet først. I dybeste hemmelighed fik han i samarbejde med blandt andet Microsoft, Sun og Cisco lukket hullet, og 8. juli blev en opdatering frigivet.

DNS-protokollen (domain name system) sørger for at oversætte mellem IP-adresser og de tekstbaserede webadresser, brugerne indtaster, og sender så folk videre i den rigtige retning på internettet.

Denne grundliggende telefonbog viste sig at kunne omgås af hackerne. I går forklarede Dan Kaminsky for første gang i detaljer, hvad problemet var.

Sikkerhedsbristen udnyttede, at de mest brugte DNS-opslag ligger i en cache, som kunne manipuleres. Selve indholdet på DNS-serveren blev altså aldrig berørt.

Først sendes en stor mængde sære forespørgsler til en DNS-server, som ville blive nødt til at spørge andre DNS-servere om hjælp. Den store trafik ud og ind kunne hackerne så udnytte til at gætte sig frem til et korrekt transaktions-ID, som der kun var 65536 muligheder for.

Med et korrekt ID i hånden og den rette port at sende til, som tit var en standard-adresse, kunne hackerne mase sig ind i trafikstrømmen og komme først med et tilsyneladende gyldigt DNS-svar. Hermed kunne de så videresende besøgende til websider efter eget valg.

Sikkerhedsopdateringen, som nu har lukket hullet, ændrer blandt andet antallet af mulige transaktions ID'er til 100 millioner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Løvborg

Der er stadig masser af sårbare servere på nettet; 35% ifølge fire dage gamle tal fra Clarified Networks.

Test din eget internetforbindelse: http://www.doxpara.com/

Se Kaminskys præsentation: http://www.doxpara.com/DMK_BO2K8.ppt

Mest af alt er hans slides en meget ubehagelig påmindelse om hvor meget vi stoler på DNS til daglig.

Kaminsky har fx ikke meget til overs for SSL som en løsning: "How are identities validated by most Certificate Authorities?" Via DNS selvfølgelig.

  • 0
  • 0
Jonas Finnemann Jensen

Ja, jeg tjekkede min ISPs DNS server et par uger efter huldet var offentliggjort... På det tidspunkt var der kommet værktøjer til at udnytte det. Men min ISP, MidtVest Bredbånd var ikke fikset... Så jeg skiftede til openDNS.org hvilket godt kan anbefales...

Forresten det er nemmere at teste her en på doxpara.com:
http://entropy.dns-oarc.net/test/

Ps. MidtVest Bredbånd har opdateret deres servere nu... Men jeg tror nu alligevel jeg fortsætter med openDNS.

  • 0
  • 0
Anonym

Ja, Trusteer har udgivet et papir til firmaer.

The Threat of DNS Spoofing on Financial Services
http://trusteer.com/white-paper-download-4

"This executive whitepaper describes the DNS cache poisoning/spoofing attack in general, and the recent reports by Trusteer about the vulnerabilities of Microsoft DNS Server and ISC BIND servers to this kind of attack. The paper also discusses the impact of the attack on financial institutions, and offers possible remedies. "

Den er lige til at putte i lommen hehe :P Den beskriver dog ikke selve angrebet særligt detaljeret, men det kan du alligevel læse om på Matasano's blog i google's cache.

Btw til journalisten/skriveren af denne artikel, Cache Poisoning har været her i meget lang tid, og der er altså hackere som har udnyttet DNS til at "deface" sider før, f.ex. Metasploit's side, så hackere er altså ikke helt dumme. (undtagen script kiddies)

H.D. Moore og |)ruid udgav jo også flere exploits til sikkerhedshullet i DNS systemet da det kom ud på Matasano's blog, og de er jo også hackere.

Og det er nok meget sansynligt at forskerne/researcherne fra Trusteer er Whitehats, altså hackere på den "gode side", så jeg vil nu ikke sige at det ihvertfald ikke var en hacker som tænkte på DNS Cache Poisoning i første omgang.

I tilfælde af man gerne vil have næsten alt info om det kan man læse videre her:
http://forum.intern0t.net/hacking-tools-utilities/238-dns-cache-poisonin...

Der er endda også information om ISR Evilgrade Framework'et som jo kan bruges sammen med det såkaldte DNS Exploit. Dog er det på eget ansvar hvis i misbruger den viden i har fået fra de links jeg har skrevet. :)

  • 0
  • 0
Log ind eller Opret konto for at kommentere