Фундаментальной ошибке всистеме интернет-адресаци уже 20 лет

[5611]

Только вчера в системе интернет-адресации была устранена фундаментальная ошибка, благодаря которой злоумышленники могли беспрепятственно подделывать адреса любых веб-сайтов. Эта ошибка затрагивала общую реализацию системы доменных имен и для ее решения необходима была скоординированная работа всех без исключения разработчиков серверного программного обеспечения.

Со вчерашнего дня любой администратор Winodows-, Linux-, Unix- и Mac-серверов может заметить, что для любой из серверных систем доступна новая версия используемого DNS-сервера (например Bind). Обновления для своих продуктов выпустили и крупные изготовители сетевого оборудования, например Cisco.

На практике такая ошибка позволяла подменить определенные записи на DNS-серерверах так, что при желании войти на любой сайт, например http://www.winblog.ru, пользователь попадал на заданный злоумышленником сайт, эта же ошибка приводила к утечкам электронной почты. Причем из-за того, что ошибка таилась исключительно в серверной части, конечный пользователь никак не мог защититься от нее.
Принцип действия был таков: задача системы доменных имен (DNS) заключается в преобразовании буквенных адресов в их числовые аналоги (ip-адреса) и наоборот. Во всей глобальной сети существуют порядка 200000 средних и крупных DNS-серверов, обслуживающих миллионы пользователей, но вся DNS-архитектура организована последовательно - каждый DNS-сервер имеет свой главный головной сервер, с которого получает необходимые для работы данные о доменах и ip-адресах. Как раз в этом механизме и содержалась ошибка. Механизм передачи доменной информации и ее последующая идентификация представляют собой самое уязвимое место всей системы DNS: сервер нижнего уровня не может определить, являются ли выданные на его запросы DNS-инструкции подлинными с головного сервера или же поддельными от какого-либо третьего звена (злоумышленника). Несмотря на то, что идентификация DNS-пакетов использует случайные номера, этих номеров всего 65 000. Что стоит отметить, что каждый сервер обладает определенной последовательность создания таких "случайных" номеров, поэтому подделать такой номер не представляет никакой трудности.

Напомним, что такая уязвимость была обнаружена еще в прошлом году одним из специалистов компании IO Active, но из-за серьезности ситуации пользователи не были посвящены полностью, им было сказано лишь о том, что DNS таит в себе некоторую возможную серьезную уязвимость…

И вплоть до вчерашнего дня ни один из нас не мог гарантировать конфиденциальность отправляемой в сеть информации, которая в любой момент могла попасть в распоряжение хакера.

В течение прошлого года об ошибке узнала команда US CERT (U.S. Computer Emergency Readiness Team) и основные компании-производители серверного программного обеспечения. Все без исключения договорились держать новость в секрете, и лишь в марте этого года в штаб-квартире Microsoft произошла встреча 16 ведущих мировых произодителей ПО и сетевого оборудования, в результате которой был разработан план действий по ликвидации ошибки и утвержден график выпуска патчей к серверному ПО.

Во вторник Microsoft вместе с традиционным набором исправлений, обновила систему управления доменными именами в серверных версиях Windows. Обновления получили также пользователи оборудования Cisco, а на сайте Internet Systems Consortium стала доступна новая версия системы Bind для крупнейших Linux-систем: Red Hat, Suse, Mandriva, Ubuntu и других.

Как говорят официальные источники, случаев использования данной уязвимости не было, но ведь ее невозможно было проследить.

Старший программный менеджер Internet Systems Consortium Джоа Дамас сообщзил, что сейчас механизм генерации таких "случайных номеров" был пересмотрен и ограничение в 65000 снято, также добавлен новый механизм защиты, благодаря которому сервер стирает некорректные номера из базы данных.

http://www.winblog.ru/news/1147765608-k ... 70801.html

[5611]

Только вчера в системе интернет-адресации была устранена фундаментальная ошибка, благодаря которой злоумышленники могли беспрепятственно подделывать адреса любых веб-сайтов. Эта ошибка затрагивала общую реализацию системы доменных имен и для ее решения необходима была скоординированная работа всех без исключения разработчиков серверного программного обеспечения.

Российский физик взломал пропатченный DNS

Российский физик Евгений Поляков взломал DNS-сервер, сообщает The New York Times. Произошло это после того, как была устранена уязвимость в DNS, обнаруженная экспертом по безопасности Дэном Камински (Dan Kaminsky) полгода назад.
Напомним, в начале июля несколько крупных IT-корпораций, в том числе Microsoft, Sun и Cisco, одновременно выпустили патч, исправляющий серьезную уязвимость в DNS - системе, ответственной за соответствие интернет-адресов доменным именам. Евгений Поляков смог обойти эту защиту и взломать DNS-сервер.

Информацию о том, как ему удалось это сделать, Поляков опубликовал в своем блоге. Ознакомившись с данными, эксперты пришли к выводу, что описанный метод взлома может быть успешно применен на практике.

По словам физика, для взлома системы ему потребовалось два компьютера, высокоскоростное подключение к DNS-серверу и десять часов свободного времени. При использовании более мощных ресурсов атака займет меньше времени.

Получив контроль над DNS-сервером, злоумышленники могут перенаправить трафик с любого веб-адреса на свои сервера. Кроме того, используя уязвимость, хакеры могут загружать на компьютер вредоносные программы.
http://lenta.ru/news/2008/08/11/dns/

[5611]

Агентство Национальной Безопасности США разработало и запатентовало новую технику, при помощи которой в компьютерной сети можно будет вычислить хакеров, которые пытаются выдать себя за легитимных пользователей. В основе разработки АНБ находится программное обеспечение, точно измеряющее время, необходимое для того, чтобы передать по сети тот или иной тип данных от одного компьютера другому.

В том случае, если время, необходимое для передачи, резко возрастает или уменьшается, то программное обеспечение предупреждает о нетипичном поведении компьютера, находящегося "по ту сторону" сети.

В АНБ замечают, что ранее временная техника уже предлагалась к использованию другими исследователями, однако их методика отличается от всего, предложенного до сих пор. Новая технология предусматривает отправку различного типа данных, сравнивая скорость и узлы, по которым они идут в процессе своей доставки до узла назначения.

"Изюминка метода заключается в том, что он смотрит на несколько сетевых уровней сразу", - говорит Тадаеши Коно, один из разработчиков системы и работник Университета Вашингтона.

Разработчики говорят, что их метод позволяет находить фишинговые сайты, а также бороться с распространенной атакой типа man-in-the-middle, когда злоумышленник пропускает и прослушивает весь секретный трафик от клиента к серверу через свой компьютер.

ИТ-эксперт Дэн Камински, обнаруживший крупный баг в системе DNS в этом году, не особо впечатлен разработкой американских разведчиков: "Подумайте, если ваша сеть стала чуть медленнее, или плохие парни заполняют ее плохими пакетами, то данный метод становится не очень-то эффективен. На практике может быть миллиард причин, по которым маршрутизация может замедляться".

Пока в АНБ не сообщают, будут ли они публиковать новую разработку под лицензией GPL, как это было в свое время с SELinux.
http://www.cybersecurity.ru/news/61379.html

viewtopic.php?f=2&t=10048

[5611]

Веб-сайт, принадлежащий эксперту в области безопасности Кевину Митнику, был скомпрометирован после того, как хакеры получили доступ к DNS-серверу хостинговой компании и перенаправили посетителей его ресурса на страницы, содержащие порнографические изображения.

В интервью Митник сообщил, что за последние несколько лет это уже второй случай, когда дыра в безопасности у хостинг-провайдера hostedhere.net позволяет злоумышленникам перенаправлять посетителей его сайта. В момент написания новости DNS-записи были восстановлены, однако некоторые пользователи до сих пор продолжают попадать на подставной веб-сайт, поскольку кэш DNS еще не везде очищен.
Эта атака стала последним случаем нападения на видных консультантов в области безопасности. До этого, в прошлом году, аккаунты трех известных специалистов были взломаны неизвестными. Злоумышленники выкрали 2Гб электронной переписки и разослали письма с жестким порно игрокам детской бейсбольной команды, тренером которой являлся один из экспертов.
Люди, стоящие за атакой на Митника, также воспользовались порнографией. Посетителей его сайта они переадресовывали на страницу с изображением нескольких мужчин, занимающихся сексом, наложенным на фотографию Митника. Подпись под картинкой приглашала всех "покататься на паровозике из мужиков".
Митник, который стал экспертом по безопасности после того, как в 90-е годы отсидел пять лет в тюрьме за хакерство, сообщил, что планирует сменить хостинговую компанию, поскольку его нынешний провайдер продолжает оставаться уязвимым.http://www.xakep.ru/post/48701/default.asp