Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Pozor! Možná i vaše internetové připojení je zranitelné. Pomozte nám otestovat česká DNS

  13:09aktualizováno  9. srpna 14:45
Závažná chyba v DNS protokolu umožňuje útočníkům podstrčit vašemu prohlížeči úplně jiný server, než na který se chcete dostat. Ověřte, zda váš poskytovatel internetového připojení již chybu odstranil.
Nebezpečná chyba v DNS může ohrozit i vás

Nebezpečná chyba v DNS může ohrozit i vás | foto: Profimedia.cz

Když jsem prvního dubna vydal aprílový článek mj. o nenápadném přesměrování DNS, netušil jsem, že o pár měsíců dojde k něčemu podobnému, a to v celosvětovém měřítku. V DNS protokolu byla chyba, která umožnila hackerům napadnout DNS servery různých poskytovatelů a přesměrovat nic netušící uživatele na jiné stránky, než na které se chtěli dostat. To mohou hackeři využít k různým vtípkům, ale také k získání citlivých informací nebo k nakažení počítače škodlivým softwarem (spyware, malware apod.)

Nyní je chyba známá již mnoho dní (píše se o ní od června, 25. července vydala CZ.NIC doporučení k jejímu odstranění), nicméně na základě informací od čtenářů se zdá, že někteří čeští operátoři a poskytovatelé připojení, včetně těch největších, chybu dosud neopravili.

DNS ve zkratce

DNS (Domain Name Server) slouží k přesměrování jmenných adres (například "idnes.cz") na číselnou IP adresu (v tomto případě "194.79.52.192"). Nemusíme si tedy pamatovat IP adresy a celý web je mnohem přehlednější a navigace snadnější. Kdykoli zadáte do prohlížeče adresu nebo kliknete na odkaz, prohlížeč kontaktuje DNS a nechá si přeložit doménové jméno na IP adresu. Pokud by byl DNS záznam zfalšovaný, prohlížeč ani uživatel to nijak nezjistí a budou uneseni na stránku dle útočníkovy libovůle.

DNS cache poisioning není ničím novým, nicméně v posledních týdnech se stal celosvětovým problémem v zatím asi největším rozsahu. Chybu objevil Dan Kaminsky, bývalý zaměstnanec Cisco Systems. Informace sice držel v tajnosti, zatímco se skupinou expertů pracovali na odstranění, nicméně chyba se dostala ven. Celý svět začal postupně upgradovat na nové verze DNS serverů a záplatovat napadnutelné systémy. Zajímavé je video s průběhem záplatování na YouTube.

Doplnění: Vyjádření Ondřeje Surého, technického ředitele společnosti CZ.NIC:"Jedná se o jednu z nejzávažnějších chyb v protokolu DNS. DNS jedním ze základních pilířů dnešního Internetu, proto by se neměl dopad této chyby podceňovat. (...) [N]eaktualizovaný server je možné napadnout v řádu několika sekund. Pokud ti, kteří se starají o DNS servery, dosud neprovedli update svých systémů, mají nejvyšší čas tak udělat.“ Surý dodává, že CZ.NIC pracuje na zvýšení bezpečnosti služby DNS a připravuje zavedeni technologie DNSSEC na české domény. "V září, kdy bude se DNSSEC spustí naostro, se Česká republika zařadí mezi první státy světa, které již mají k dispozici takovou úroveň bezpečnosti.“

Otestujte, zda je vaše připojení v pořádku

Na adrese http://149.20.3.33/test/ se nachází Test entropie DNS, který vám přímo z vašeho prohlížeče umožní prověřit, zda váš poskytovatel připojení již zabezpečil. Test ověřuje, zda DNS užívá dostatečně náhodné přidělování portů pro požadavky.

DNS Test - GREAT

Pokud je alespoň jedno z hodnocení na stavu "poor", jedná se pravděpodobně o špatně zabezpečený server. Prosíme, informujte svého providera, a pokud chcete, také nás - napište mi na pavel.kasik@idnes.cz, který poskytovatel vás nechal ve štychu.


Poznámka

Jak správně poznamenali pozorní čtenáři, test neověří zabezpečení na sto procent a není tedy stoprocentně vypovídající. Záleží na správci a individuálním řešení pro daný systém. Nejmenovaný správce nám například zdůraznil, že ne každý server, který se ohlásí u prvního testu (Source Port Randomness) jako "poor", je nutně zranitelný zvnějšku. Znamená to jen, že pravděpodobně neimplementoval všechny doporučené postupy pro zabránění DNS Cache Poisioningu. Můžete na to svého provozovatele upozornit.

Jak si nastavit OpenDNS

Pokud zjistíte, že vaše DNS není zabezpečeno, může být vhodným krokem zvolení jiného DNS. Nabízí se například OpenDNS.

  • 208.67.222.222
  • 208.67.220.220

Tyto IP adresy nastavíte v systému namísto současných DNS serverů. Návod je na stránkách OpenDNS.

Více informací:

Autor:




Hlavní zprávy

Další z rubriky

Rozšířené zobrazení výsledků vyhledávání - Google
Google po letech přestane při vyhledávání rovnou načítat výsledky

Od roku 2010 vám Google při vyhledávání nabízí dynamické vyhledávání. To nyní zmizelo.   celý článek

Sídlo společnosti Google v Mountain View v Kalifornii (ilustrační snímek)
Google propustil programátora kvůli traktátu proti podpoře žen v IT

Programátor James Damore kritizoval ve svém dokumentu politickou korektnost a „levicové zkreslení“ společnosti Google. Vystoupil především proti tomu, aby se...  celý článek

VPN v ohrožení
Apple stáhl z Číny aplikace s VPN. Putin podepsal jejich zákaz v Rusku

Blokování přístupu na necenzurovaný internet je v některých zemích stále populárnější. Kvůli požadavkům čínských úřadů tak Apple stahuje VPN aplikace. V Rusku...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.