A világháló egyik alapjának számító névszerver-rendszer felelős azért, hogy az egyes webcímekhez (pl. www.origo.hu) rendelje az őket kiszolgáló szerver IP-címét (195.228.240.145). A mostani hibát kihasználva a támadók a DNS-kiszolgálókon tárolt hozzárendeléseket időlegesen átírhatják, így trójait telepítő vagy adathalász oldalakra irányítva a gyanútlan netezőket. A probléma súlyosságára jellemző, hogy a sebezhetőség az internetet működtető szoftverek mélyén rejlik, így az összes DNS-szervert érinti, a sikeres támadás végrehajtásához szükséges idő pedig másodpercekben mérhető.
Idő előtt szivárgott ki
A domainnév-szerverek hibáját Dan Kaminsky fedezte az idei év során, ám a probléma világgá kürtölése helyett inkább a hálózati eszközök és DNS-szoftverek gyártókhoz fordult. Az együttműködés hatására a hónap elején sikerült kiadni minden érintett szolgáltatáshoz javítófoltot. Mivel a hiba a hálózatok alapjait érinti, Kaminsky a időt akart hagyni a netszolgáltatóknak és céges rendszergazdáknak az augusztus eleji BlackHat konferencia kezdetéig a javítások telepítésére.
A sebezhetőség részletei azonban hétfőn több biztonsággal foglalkozó is oldalra kiszivárogtak. Ráadásul mostanra a hiányosságot kihasználó támadókód megjelent a biztonsági szakemberek és hackerek által egyaránt használt Metasploit keretrendszerben is, így a javítás rendkívül sürgőssé vált. Szerencsére a felhasználók nincsenek teljesen kiszolgáltatva, maguk is ellenőrizhezik, hogy védettek-e a rosszindulatú átirányítások ellen.
Magyarország: vannak még hibás szerverek
Gyors és abszolút nem reprezentatív felmérésünk szerint a magyar lakossági netszolgáltatók egy részénél már javították a hibát, de még bőven találni sebezhető névszervereket. Így a biztonságukért aggódók jobban teszik, ha a sebezhetőséget elsőként felfedező Dan Kaminsky oldalán tesztelik, hogy az általuk használt DNS szerverek rendelkeznek-e a szükséges javítófolttal. A DoxPara.com címen található blog oldalsávjában található Check My DNS gombra kattintva pillanatok alatt kiderül rendben van-e minden.
Akkor sincs nagy probléma, ha az ellenőrző eszköz javítatlannak találja a netszolgáltató DNS-ét. Elég a Windows hálózati beállításai között megadni, hogy a gép az egészen biztosan javított OpenDNS szervereit használja a webcímek feloldására. Az ingyenes névszervereket - és számtalan hasznos csatolt szolgáltatást - üzemeltető cég honlapján még képes útmutató is található a beállítások megtételére.
Nem kap biztonsági Oscart a hiba
A hibát jelölték a netes biztonság Oscar-díjának számító Pwnie-ra is az év legszenzációhajhászabb biztonsági hibája kategóriában. A számítógépes biztonsággal foglalkozó portál Vírus Híradó szerint azonban valószínűtlen, hogy a Kaminsky lelete kapja a díjat. Már a jelölés is inkább a hiba javítását megelőző titkolózásnak köszönhető, nem a probléma súlytalanságának.