Internet saa korjauksen, kun DNS-bugi on korjattu

Internet-tietokoneiden yhdistämiseen käytettävien ohjelmien tekijät julkaisevat yhdessä julkaistuja ohjelmistopäivityksiä tiistaina korjaamaan vakavan virheen yhdellä Internetin alla olevista protokollista, Domain Name System (DNS).

Virhe löydettiin "täydellisellä onnettomuudella", Dan Kaminsky, tutkija, jossa on turvallisuusvastuuhenkilö IOActive.

Lähettämällä tietyntyyppisiä kyselyjä DNS-palvelimiin hyökkääjä voi sitten ohjata uhreja pois laillisesta Web-sivustosta - sanoa, Bofa, joka on entinen Cisco Systemsin työntekijä..com - haitalliselle verkkosivustolle ilman, että uhri ymmärtää sen. Tällainen hyökkäys, joka tunnetaan nimellä DNS-välimuisti myrkytys, ei vaikuta pelkästään Webiin.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Virhe voidaan hyödyntää ", kuten phishing-hyökkäys, lähettämättä sähköpostia, "sanoo teknikkopäällikkö Wolfgang Kandek tietoturvayhtiö Qualysin kanssa.

Vaikka tämä virhe vaikuttaa joihinkin kodin reitittimiin ja asiakkaan DNS-ohjelmistoihin, se on lähinnä yritysasiakkaille ja Internet-palveluntarjoajille, jotka käyttävät käytettyjä DNS-palvelimia PC: t löytävät tietä Internetiin, Kaminsky sanoi. "Kotikäyttäjät eivät saisi paniikkia," hän sanoi tiistaina pidettävässä puhelinkonferenssissa.

Otettuaan vikoja muutama kuukausi sitten, Kaminsky pyöritti heti noin 16 tietoturva-asiantuntijaa, jotka ovat vastuussa DNS-tuotteista, jotka tapasivat Microsoftissa 31. maaliskuuta ratkaisemaan tapa ratkaista ongelma. "Otin yhteyttä muihin kaverit ja sanoin:" Meillä on ongelma ", Kaminsky sanoi. "Ainoa tapa, jolla voimme tehdä tämän, on, jos meillä olisi samanaikainen vapautus kaikilla alustoilla."

Se massiivinen virheenkorjaus tapahtui tiistaina, kun useat yleisimmin käytetyt DNS-ohjelmiston tarjoajat julkaisivat laastareita.

Internet-ohjelmistokonsortion avoimen lähdekoodin BIND (Berkeley Internet-nimi), Microsoft, Cisco, Red Hat, Sun Microsystems ja Internet Software Consortium, Domain) -ohjelmisto toimii noin 80 prosentilla Internetin DNS-palvelimista. Useimmille BIND-käyttäjille korjaus on yksinkertainen päivitys, mutta arviolta 15 prosenttia BIND-käyttäjistä, jotka eivät ole vielä siirtyneet uusimpaan BIND 9 -versioon, saattaa olla vaikeampaa.

That's koska BINDin vanhemmilla versioilla on joitain suosittuja ominaisuuksia, jotka vaihdettiin, kun BIND 9 julkaistiin Internetin ohjelmistokonsortion vanhemman ohjelmavastaavan Joao Damasin mukaan.

Kaminskyn bugi liittyy DNS-asiakkaiden ja palvelimien tietojen saantiin muut Internet-palvelimet. Kun DNS-ohjelmisto ei tiedä tietokoneen numeerista IP-osoitetta (Internet Protocol), se pyytää toista DNS-palvelinta kyseisiin tietoihin. Hyökkääjä houkuttelee DNS-ohjelmistoa uskomaan, että lailliset verkkotunnukset, kuten Bofa.com, kartoittavat haitallisiin IP-osoitteisiin.

Turvallisuustutkijat ovat tienneet keinoista käynnistää nämä välimuistiot hyökkäävät DNS-palvelimia jo jonkin aikaa, mutta tyypillisesti nämä hyökkäykset edellyttävät, että hyökkääjät lähettävät paljon tietoja DNS-palvelimeen, jonka he yrittävät tartuttaa, mikä tekee hyökkäyksistä helpommin havaittavaksi ja estäväksi. Kaminsky löysi kuitenkin paljon tehokkaamman keinon käynnistää onnistunut hyökkäys.

Koska Kaminskyn virhe on DNS: n suunnittelussa, ei ole helppoa korjata sitä, Damas sanoi. Sen sijaan ISC: n kaltaiset yritykset ovat lisänneet ohjelmistonsa uusi turvallisuustoimenpide, joka vaikeuttaa välimuistiin kohdistuvaa myrkytystä.

Pitkällä aikavälillä tehokkain tapa käsitellä välimuisti myrkyttää on olla turvallisempi DNA-versio, nimeltään DNSSEC, sanoi Arbor Networksin pääjohtajan Danny McPherson. Tiistain korjaus on periaatteessa "hakku, joka tekee siitä paljon vaikeampaa", hän sanoi. "Mutta se ei korjaa juuri ongelmaa."

Kaminsky kertoo, että hän antaa verkon ylläpitäjille kuukausi päivittää ohjelmistonsa ennen kuin hän paljastaa tekniset yksityiskohdat ensi kuun Black Hat -konferenssissa Las Vegasissa. Tällä välin hän on lähettänyt koodin verkkosivustolleen, jonka avulla käyttäjät voivat tarkistaa, onko yrityksen tai ISP: n DNS-palvelimen päivitetty.