Баг Каминского в DNS-серверах не исправлен спустя пять лет

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 30 Jan 2013.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Баг Каминского в DNS-серверах не исправлен спустя пять лет

    Прошло почти пять лет с момента, как специалист по -безопасности Дэн Камински в 2008 году описал новый способ атаки на кэш DNS-сервера. Так называемый DNS-спуфинг или просто «атака Каминского» ведёт к компрометации данных с внедрением в кэш фальшивых DNS-записей, чтобы перенаправить пользователей на сервер, контролируемый злоумышленником.

    [​IMG]

    Атака возможна в случае, если сервер не проверяет ответы DNS на корректность, чтобы убедиться в их авторитетном источнике (например, при помощи DNSSEC — DNS Security Extensions). Если проверка не осуществляется, то сервер будет кэшировать некорректные ответы локально и использовать их для ответов на запросы других пользователей, пославших такие же запросы.

    Собственные DNS-серверы имеются во многих крупных компаниях. Их устанавливают ради ускорения процесса трансляции имен для пользователей внутри компании. Удивительно, но даже спустя пять лет после описания проблемы большинство корпоративных DNS-серверов так и не внедрили проверку запросов через DNSSEC. Этот факт обнаружился в результате исследования Национального института стандартов и технологий (NIST) среди американских компаний. Оказалось, что только 1% коммерческих компаний и 5% академических учреждений сконфигурировали свои DNS-серверы должным образом.

    К аналогичным выводам пришли специалисты DNS-вендора Secure64. Например, по их информации, 49 из 50 крупнейших медиакомпаний так и не внедрили поддержку DNSSEC. По состоянию на ноябрь 2012 года даже ни один из крупнейших 60 интернет-провайдеров в США не защитился от потенциального DNS-спуфинга. Единственным исключением является медиакомпания и интернет-провайдер Comcast. Среди государственных агентств большинство выглядят хорошо, потому что они по закону были обязаны сделать апгрейд до 31 декабря 2009 года.

    DNSSEC — набор спецификаций IETF, обеспечивающих безопасность информации, предоставляемой средствами DNS. В основе протокола лежит метод цифровой подписи ответов на запрос DNS lookup. Для этого было создано несколько типов DNS записей, в их числе RRSIG, DNSKEY, DS и NSEC. Вся информация о защищённом домене зашифрована, она может быть изменена только при помощи закрытого ключа шифрования.

    Алгоритм работы DNSSEC показан на схеме.

    [​IMG]

    30.01.2013
    http://www.xakep.ru/post/60026/​
     
    #1 Solitude, 30 Jan 2013
(You must log in or sign up to post here.)