Язвы интернета

Фото: SXC

Российский физик Евгений Поляков взломал DNS-сервер (Domain Name System), который отвечает за соответствие между интернет-адресами и доменными именами. Об этом сам Евгений сообщил в своем блоге [1]. Сделал он это не в преступных целях, а для того, чтобы привлечь внимание общественности к существующим проблемам безопасности в интернете.

Своим взломом Евгений Поляков доказал, что ошибка, которая была обнаружена экспертом по безопасности Дэном Камински полгода назад и частично исправлена в начале прошлого месяца силами нескольких IT-корпораций, включая Microsoft, Sun и Cisco, окончательно не устранена. Эксперты, которых опросило издание The New York Times, подтвердили, что метод, который использовал Поляков, действительно эффективен и может быть использован злоумышленниками. В частности, изменив соответствия интернет-адресов доменным именам, хакеры смогут украсть пользовательские пароли или взломать их банковские аккаунты (счета), так как трафик, идущий с любого компьютера, можно будет перегонять на сервер злоумышленников. Также они смогут закачать на компьютер вредоносное ПО.

По мнению экспертов по интернет-безопасности, которых цитирует New York Times, такие хакерские атаки уже проводились, и их число в дальнейшем будет только расти. Патч, который выпустили IT-корпорации, чтобы защитить DNS-сервера, лишь увеличивает время, необходимое для взлома. Согласно записи в блоге Полякова, для взлома он использовал два мощных компьютера с высокоскоростным подключением к интернету и весь процесс занял около 10 часов.

Как рассказал "Эксперту Online" сам Евгений Поляков, уже ведутся работы по внедрению новых стандартов работы корневых серверов интернета, самым перспективным из которых является DNSsec (DNS Secured, безопасный DNS). "Многие государственные учреждения по всему миру переходят или уже перешли на использование этого стандарта как расширение использования DNS", - подчеркнул физик. По его словам, в далекой перспективе это является решением проблемы с DNS, но внедрение требует определенных усилий и дополнительных вложений как в оборудование, так и программное обеспечение, что может стать серьезной помехой.

Ссылки

• [1] http://tservice.net.ru/~s0mbre/blog/devel/networking/dns/2008_08_08.html

Комментарий эксперта

Евгений Поляков

физик

В интернете есть несколько эксплоитов (фрагментов программного кода, использующих уязвимость), позволяющих удаленно добавить запись в DNS-кэш атакуемой системы. Все они написаны не для того, чтобы любой желающий мог использовать эту уязвимость, а для подтверждения работоспособности гипотезы и привлечения внимания к проблеме.

Я провел свое исследование с целью проверить вероятностную гипотезу об успешности (точнее неуспешности) противодействия новых версий DNS-серверов (в частности использование случайных портов DNS-сервером) подобного рода атакам.

Мой эксплоит, по сути, ничего нового не открывает, просто использует старую уязвимость протокола. Для серверов без последних заплаток он добавляет запись в кэш в течение 1-2 секунд, с заплатками - 10 часов.

Другие серверы, которые используют небольшие ловушки или дополнительные меры предосторожности, потребуют больше (возможно, даже заметно больше) времени, но суть уязвимости остается.

На данный момент практически все производители уже выпустили обновленные версии, так что опасность достаточно низкая. К сожалению, это случается далеко не часто, и любое промедление компании-разработчика может обернуться серьезными проблемами для пользователей.