neprihlásený Utorok, 12. augusta 2025, dnes má meniny Darina
Až tretinu Internetu môžu ovládnuť "script kiddies"

Na výrazné slabiny DNS systému používaného na Internete na preklad doménových mien na číselné IP adresy upozornila štúdia profesora Emina Sirera z Cornellovej univerzity, ktorá zisťovala, aká presná časť Internetu je nimi ovplyvnená. Štúdia tvrdí, že zneužitím známych chýb je možné ovládnuť až 34% Internetu, spojením s ďalšími metódami útokov až 85%.

DSL.sk, 2.5.2006


Na výrazné slabiny Domain Name System-u (DNS) zabezpečujúceho preklad doménových mien na číselné internetové IP adresy upozornila na konci apríla vydaná štúdia profesora Emina Sirera z Cornellovej univerzity.

Domain Name System

Úlohou DNS je napríklad po zadaní adresy užívateľom do prehliadača kontaktovať tzv. DNS servery, od ktorých sa získa číselná IP adresa webového servera, ktorú môže priamo kontaktovať prehliadač.

Na zraniteľnosť hierarchického internetového DNS systému na najvyšších úrovniach upozorňovali experti už v minulosti, pred niekoľkými rokmi bol dokonca uskutočnený masívny úspešný útok na niektoré hlavné tzv. root DNS servery. Viackrát tiež bezpečnostné spoločnosti upozorňovali na časté nezaplátané bezpečnostné chyby v DNS serveroch.

Nové riziká

Štúdia profesora Sirera vyhodnocujúca viac ako pol milióna zozbieraných webových adries a cca 167 tisíc DNS serverov sa zameriavala ale na nový typ rizika v kombinácii s bezpečnostnými chybami.

Pre zabezpečenie dostatočnej odolnosti voči výpadkom je pre doménu zvyčajne zadefinovaných viacero rozličných DNS serverov, ktoré poskytujú IP adresy poddomén pre túto doménu. V dôsledku tohto rozvetvenia a toho, že DNS servery sú zvyčajne opät definované pomocou DNS domén, sa na zisťovaní jednej IP adresy môže podielať oveľa väčšie množstvo DNS serverov, ako sa doteraz predpokladalo.

Štúdia zistila, že priemerne pre jednu doménu je týchto serverov až 46 nerátajúc root DNS servery, pre niektoré domény z Ukrajiny je to aj viac 600 DNS serverov. Pre slovenské domény napríklad je vo väčšine prípadov týchto serverov až cez 250.

Zoznam všetkých DNS serverov, na ktorých môže závisieť zistenie IP adresy pre danú konkrétnu doménu, je možné získať na tejto stránke zmenou parametra uvedeného v adrese.

V prípade, že len jeden z týchto DNS serverov pre danú doménu je pod kontrolou útočníkov, užívatelia môžu byť v niektorých prípadoch presmerovaní na nedôveryhodné servery útočníkov bez toho, aby to bolo rozpoznateľné, pokiaľ stránky nie sú zabezpečené SSL protokolom a dôveryhodným certifikátom alebo užívateľ nevenuje pozornosť upozorneniam prehliadača na nezhodu v certifikátoch.

Takéto techniky označované aj ako hijacking domén využívajú napríklad phisheri. Tento druh phishingu nesie špeciálne označenie pharming a je užívateľmi len veľmi tažko alebo prakticky vôbec neodhaliteľný.

Bezpečnostné chyby

Štúdia ďalej preverila verzie softvéru DNS serverov a zistila, že až 17% DNS serverov malo neopravenú niektorú zo známych bezpečnostných chýb zneužiteľnú bežnými dostupnými exploitami. Zneužiť ich tak môžu aj tzv. "script kiddies", teda útočníci bez špeciálnych odborných znalostí. Pre vysoký počet DNS serverov pre jednu doménu a naopak ale až 34% všetkých doménových mien využíva aspoň jeden ľahko napadnuteľný DNS server.

Zoznam stránok, ktoré sú prepojené na DNS server so známou zraniteľnosťou, zverejnili autori tu. Nachádzala sa medzi nimi napríklad stránka FBI www.fbi.gov ale tiež mnoho slovenských stránok.

Ako uviedol Sirer pre BBC, v prípade kombinácie s iným napríklad DoS útokom, ktorý by odstavil nenapadnuteľné DNS servery, až 85% všetkých stránok môže byť zraniteľných presmerovaním na servery útočníkov.

Ako uzatvára štúdia, v takomto rozsahu by tento typ útokov bol prakticky len veľmi ťažko realizovateľný, štúdia ale upozorňuje na reálnu zraniteľnosť systému DNS umožňujúcu napadnúť návštevníkov web stránok. Profesor pre BBC dodal: "Oni (útočníci) to už možu robiť, vôbec sa to ale nemusíme dozvedieť.".

      Zdieľaj na Twitteri


Viete presne čo všetko musíte pri návšteve zabezpečenej webovej stránky overiť, aby ste sa uistili, že je skutočne bezpečná a autentická? (hlasov: 206)

Áno      29%
Nie      71%


Najnovšie články:

Nova Sport 6 pribúda do Skylinku, kanály Canal+ Sport do Voyo
V USA ešte funguje dial-up, skončí v septembri
Súborový systém Btrfs mal ušetriť Facebooku miliardy dolárov
V Kalifornii spustili solárnu elektráreň s veľkým batériovým úložiskom
Vydaný Debian 13, podporuje RISC-V ale už nie je pre 32-bitové x86 CPU
Loď s posádkou z ISS úspešne pristála
Streamovacia služba HBO Max začne intenzívnejšie bojovať proti zdieľaniu účtov
Softvér eID klient pre elektronický občiansky v novej verzii 5.1
Počet elektromobilov na Slovensku presiahol 20-tisíc
V súborovom systéme Btrfs bola chyba spôsobujúca vážne problémy


Diskusia:
                               
 
antonio
Od: antonio | Pridané: 2.5.2006 23:08

este dobre ze nerozumiem ani slovu, inak by som sa zacal bat!
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 2.5.2006 23:15

Distributed Denial of Services (DDoS) je najvecsie svinstvo ake kedy existuje. Bodaj by attackeri zmizli zo sveta....
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 3.5.2006 0:12

Distributed Denial of Services (DDoS) je najvecsie svinstvo ake kedy existuje. Bodaj by attackeri zmizli zo sveta....
Odpovedať Hodnotiť:
 
dano
Od: dano | Pridané: 3.5.2006 9:44

ked si budes na svoj pocitac instalovat blackbox svinstva typu Skype alebo Hamachi, tak celkom lahko moze byt raz tvoj pocitac sucastou taketoho utoku :)

Odpovedať Hodnotiť:
 
Milos
Od: Milos | Pridané: 3.5.2006 11:30

Siet po hamachi sa da primitivne zakryptovat :)
Odpovedať Hodnotiť:
 
dano
Od: dano | Pridané: 3.5.2006 11:37

vazne? a co autor Hamachi - iba ten vie co sa skryva v tom programe. A ma dokonaly prehlad o vsetkych instalaciach, o vsetky IPckach kde tento soft bezi. Proste krasny obrovsky botnet, ktori si uzivatelia sami instaluju a este sa aj tesia ake to je vyborne:)

Odpovedať Hodnotiť:
 
saykyo
Od: saykyo | Pridané: 3.5.2006 18:00

jedna vec je closed source a druha je ze program pouzivaju stotisice ludi, dokonca aj IT expertov
suhlasim ze tento program nefunguje zrovna transparentne, ale silno pohybujem ze by tvoril botnet siete, to sa mi zda ako hlupost...
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 3.5.2006 12:03

nemam skype ani hamachi a ani podobne svinstva, davam si zalezat co mam v PC. jedine svinstvo co mam je windows
Odpovedať Hodnotiť:
 
Uhlik
Od: Uhlik | Pridané: 3.5.2006 0:20

ludia certifikaty asi nekontroluju, lebo inak si neviem predstavit, ako je mozne, ze niekto pouziva Internet banking VUB ... totiz VUB si sama sebe vydala kvazi certifikat a este sa aj priznava na svojej stranke ( https://registracia.vub.sk/pki/index.html ), ze "Certifikačná autorita VÚB, a.s. t.č. nie je akreditovanou certifikačnou autoritou v zmysle zákona 215/2002 Z.z." a samozrejme IE7 po prichode na ich stranky oznamuje toto:

***********************************************************
There is a problem with this website's security certificate.


The security certificate presented by this website was not issued by a trusted certificate authority.

Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.
We recommend that you close this webpage and do not continue to this website.
Click here to close this webpage.
Continue to this website (not recommended).
For more information, see "Certificate Errors" in Internet Explorer Help.
***********************************************************
je to jedina banka v SR, ktora nema vydany certifikat skutocnou certifikacnou autoritou a este ma aj odvahu s takymto kvazi certifikatom poskytovat pristup k peniazom len na zaklade spravneho prihlasovacieho mena a hesla ... tak to je fakt ubohe ...
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 3.5.2006 0:48

Vyskusal som IB na VUB a napisalo mi toto:

Certifikat je nekompletny z dovody nespravnej konfiguracie servera.

Vidno ze lamerzz sedia nielen v NBu ale aj v Taliansku (vlastnik VUB)

len pre zaujimavost taky self-signed certifikat ako ma VUB si viem spravit aj sam a zadarmo, ved naco by chudobna banka platila mesacne 100 dolarov za Geotrust alebo veriSign sertifikat ako napr SLSP a ine ? Dobre ze som VUB zrusil este skor ako som sa toto dozvedel, uff

Odpovedať Hodnotiť:
 
VUB?
Od: VUB? | Pridané: 3.5.2006 3:34

Koho to zaujima? Ja tam ucet nemam a ty co maju urcite tuto spravu iE7.0 tiez precitali a radsej nerobia internetove bankovnictvo a transakcie. Vec cez internet by to robil len hlupak, ale z druhej strany, ako to potom robia priamo v banke? Posielaju TELEGRAMY? Stastie ze VUB neziskala moju priazen. A nikdy ani neziska ani keby mala sto certifikatov.
Odpovedať Hodnotiť:
 
tatak
Od: tatak | Pridané: 3.5.2006 9:43

a na dorazenie tej VUB este toto : http://www.skandalna-vub.sk/

silaaaaaa
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 3.5.2006 11:42

Bombova stranka, som ju cital teraz v skole na cvikach. Dasm do povedomia dalsich ludi, lebo to co robia je katastrofa. Mam u nich ucet a mam tam -200Sk a nedam im ich ani keby sa neviem co, LOL :D
Odpovedať Hodnotiť:
 
gza
Od: gza | Pridané: 3.5.2006 9:56

tema je o niecom inom ako VUB.
Odpovedať Hodnotiť:
 
tatak
Od: tatak | Pridané: 3.5.2006 10:12

a na dorazenie tej VUB este toto : http://www.skandalna-vub.sk/

silaaaaaa
Odpovedať Hodnotiť:
 
TheTOM.SK
Od: TheTOM.SK | Pridané: 3.5.2006 10:27

Pekne, clovek si manualne nastavi DNS serveri vo Windows a vo firewalle, aby si trochu zvysil bezpecnost a nakoniec ho zradi vlastny DNS server. :P
Odpovedať Hodnotiť:
 
klach
Od: klach | Pridané: 6.5.2006 18:26

a co robi nemorality aj keby ti na pc zautocil tak ti moze akurat tak ocucat obrazovku z vnutra
Odpovedať Hodnotiť:

Pridať komentár