ŠIfra napada izdana za novi DNS napad

Hackeri su objavili softver koji iskorištava nedavno otkriveni nedostatak u softveru DNS (Domain Name System, DNS) koji se koristi za usmjeravanje poruka između računala na Internetu.

Šifra napada je objavljena u srijedu od strane razvojnih programera Metasploitovih alata za hakiranje.

kôd može dati kriminalcima način pokretanja gotovo neprimjetnih napada phishinga korisnika interneta čiji davatelji usluga nisu instalirali najnovije zakrpe DNS poslužitelja.

[

] Napadci također mogu koristiti koda da tiho preusmjeri korisnike na lažne poslužitelje ažuriranja softvera kako bi instalirali zlonamjerni softver na njihova računala, rekao je Zulfikar Ramizan, tehnički direktor s prodavačem sigurnosti Symantec. "Ono što čini ovu stvar stvarno zastrašujuće jest da od perspektive krajnjeg korisnika ne mogu ništa primijetiti", rekao je.

IOActive istraživač Dan Kaminsky prvi je put objavio ovaj mjesec, ali tehnički detalji tog nedostatka bili su curenje na internet ranije ovog tjedna, što omogućuje Metasploitov kod. Kaminsky je radio nekoliko mjeseci s glavnim davateljima DNS softvera kao što su Microsoft, Cisco i Internet Consortium Systems (ISC) kako bi razvili rješenje problema. Korporacijski korisnici i davatelji internetskih usluga koji su glavni korisnici DNS poslužitelja imali su od 8. srpnja da uklone pogrešku, ali mnogi još nisu instalirali popravak na sve DNS poslužitelje.

Napad je varijanta onoga što se naziva napadu trovanja u predmemoriji. To se odnosi na način na koji DNS klijenti i poslužitelji dobivaju informacije s drugih DNS poslužitelja na Internetu. Kada DNS softver ne zna brojčanu adresu IP (Internet Protocol) računala, to pita drugog DNS poslužitelja za ove informacije. Uz trovanja u predmemoriji, napadač trikovi DNS softver vjerujući da legitimne domene, kao što je idg.com, mapiraju zlonamjerne IP adrese.

U napadu Kaminskyja pokušaj trovanja u predmemoriji također uključuje i ono što je poznato pod nazivom "Podaci o dodatnim resursima", Dodavanjem ovih podataka, napad postaje mnogo moćniji, kažu sigurnosni stručnjaci.

Napadač bi mogao pokrenuti takav napad na poslužitelje domene davatelja internetskih usluga (ISP-a), a zatim ih preusmjeriti na zlonamjerne poslužitelje. Otkrivajući primjer rekorda naziva domene za www.citibank.com, napadači bi, primjerice, mogli preusmjeriti korisnike ISP-a na zlonamjerni poslužitelj za krađu identiteta svaki put kada bi pokušali posjetiti bankarski web sa svojim web-preglednikom.

U ponedjeljak, sigurnosna tvrtka Matasano je slučajno postavio pojedinosti o manama na svojoj web stranici. Matasano je brzo uklonio post i ispričao zbog svoje pogreške, ali bilo je prekasno. Pojedinosti o nedostatku uskoro se šire putem interneta.

Iako je softverski popravak sada dostupan za većinu korisnika DNS softvera, može potrajati vrijeme za ažuriranja koja će proći kroz proces testiranja i zapravo se instalirati na mrežu.

"Većina ljudi još nije popravila", rekao je predsjednik ISC-a Paul Vixie u intervjuu e-poštom ranije ovog tjedna. "To je ogroman problem za svijet."

Metasploitov kod izgleda "vrlo stvaran" i koristi tehnike koje nisu prethodno dokumentirane, rekao je Amit Klein, glavni tehnološki časnik s Trusteerom.

Vjerojatno će se koristiti u napadima, predvidio je. "Sada kada je iskorištavanje vani, u kombinaciji s činjenicom da nisu nadogradeni svi DNS poslužitelji … napadači bi trebali biti u stanju otrovati predmemoriju nekih ISP-ova", napisao je u intervjuu e-poštom. "Stvar je - nikada nećemo znati o takvim napadima, ako napadači … pomno rade i pokrivaju svoje staze ispravno."