Když jsem prvního dubna vydal aprílový článek mj. o nenápadném přesměrování DNS, netušil jsem, že o pár měsíců dojde k něčemu podobnému, a to v celosvětovém měřítku. V DNS protokolu byla chyba, která umožnila hackerům napadnout DNS servery různých poskytovatelů a přesměrovat nic netušící uživatele na jiné stránky, než na které se chtěli dostat. To mohou hackeři využít k různým vtípkům, ale také k získání citlivých informací nebo k nakažení počítače škodlivým softwarem (spyware, malware apod.)
Nyní je chyba známá již mnoho dní (píše se o ní od června, 25. července vydala CZ.NIC doporučení k jejímu odstranění), nicméně na základě informací od čtenářů se zdá, že někteří čeští operátoři a poskytovatelé připojení, včetně těch největších, chybu dosud neopravili.
DNS ve zkratce
DNS (Domain Name Server) slouží k přesměrování jmenných adres (například "idnes.cz") na číselnou IP adresu (v tomto případě "194.79.52.192"). Nemusíme si tedy pamatovat IP adresy a celý web je mnohem přehlednější a navigace snadnější. Kdykoli zadáte do prohlížeče adresu nebo kliknete na odkaz, prohlížeč kontaktuje DNS a nechá si přeložit doménové jméno na IP adresu. Pokud by byl DNS záznam zfalšovaný, prohlížeč ani uživatel to nijak nezjistí a budou uneseni na stránku dle útočníkovy libovůle.
DNS cache poisioning není ničím novým, nicméně v posledních týdnech se stal celosvětovým problémem v zatím asi největším rozsahu. Chybu objevil Dan Kaminsky, bývalý zaměstnanec Cisco Systems. Informace sice držel v tajnosti, zatímco se skupinou expertů pracovali na odstranění, nicméně chyba se dostala ven. Celý svět začal postupně upgradovat na nové verze DNS serverů a záplatovat napadnutelné systémy. Zajímavé je video s průběhem záplatování na YouTube.
Doplnění: Vyjádření Ondřeje Surého, technického ředitele společnosti CZ.NIC:"Jedná se o jednu z nejzávažnějších chyb v protokolu DNS. DNS jedním ze základních pilířů dnešního Internetu, proto by se neměl dopad této chyby podceňovat. (...) [N]eaktualizovaný server je možné napadnout v řádu několika sekund. Pokud ti, kteří se starají o DNS servery, dosud neprovedli update svých systémů, mají nejvyšší čas tak udělat.“ Surý dodává, že CZ.NIC pracuje na zvýšení bezpečnosti služby DNS a připravuje zavedeni technologie DNSSEC na české domény. "V září, kdy bude se DNSSEC spustí naostro, se Česká republika zařadí mezi první státy světa, které již mají k dispozici takovou úroveň bezpečnosti.“
Otestujte, zda je vaše připojení v pořádku
Na adrese http://149.20.3.33/test/ se nachází Test entropie DNS, který vám přímo z vašeho prohlížeče umožní prověřit, zda váš poskytovatel připojení již zabezpečil. Test ověřuje, zda DNS užívá dostatečně náhodné přidělování portů pro požadavky.
Pokud je alespoň jedno z hodnocení na stavu "poor", jedná se pravděpodobně o špatně zabezpečený server. Prosíme, informujte svého providera, a pokud chcete, také nás - napište mi na pavel.kasik@idnes.cz, který poskytovatel vás nechal ve štychu.
PoznámkaJak správně poznamenali pozorní čtenáři, test neověří zabezpečení na sto procent a není tedy stoprocentně vypovídající. Záleží na správci a individuálním řešení pro daný systém. Nejmenovaný správce nám například zdůraznil, že ne každý server, který se ohlásí u prvního testu (Source Port Randomness) jako "poor", je nutně zranitelný zvnějšku. Znamená to jen, že pravděpodobně neimplementoval všechny doporučené postupy pro zabránění DNS Cache Poisioningu. Můžete na to svého provozovatele upozornit. |
Jak si nastavit OpenDNS
Pokud zjistíte, že vaše DNS není zabezpečeno, může být vhodným krokem zvolení jiného DNS. Nabízí se například OpenDNS.
-
208.67.222.222
-
208.67.220.220
Tyto IP adresy nastavíte v systému namísto současných DNS serverů. Návod je na stránkách OpenDNS.
Více informací:
-
How to prevent DNS cache polution (Microsoft, anglicky)
-
Popis chyby (česky)
-
Test DNS entropie (anglicky)
-
Varování CERT (anglicky), česky
-
Jak upravit DNS (anglicky)
-
Hrozba DNS útoků (Lupa.cz, česky)
-
Za doplňující informace děkujeme laskavému čtenáři Petrovi N.
-
Děkujeme čtenářům za jejich příspěvky, provozovatele kontaktujeme a dáváme jim tak prostor k vyjádření
