A Kaminsky-féle DNS-sebezhetőség nagyobb fenyegetettséget jelent az egyszeri internetezőkre, mint sokan gondolnák. A hibát már ismerik, a javítást kiadták, a többi az internetszolgáltatókon és a vállalati rendszergazdákon - no meg a rosszindulatú támadásokat tervezgetőkön múlik. Dan Kaminsky, a névfeloldó (DNS) szerverek hibájára a figyelmet ráirányító szakember ma közzétett statisztikája szerint két héttel ezelőtt a vizsgált kiszolgálók 85 százaléka volt védtelen egy támadás előtt, még ma is az internetszolgáltatók fele nem frissítette a szoftvereit - komoly veszélynek téve ki előfizetőit. A "lyukas" szervert használókat pedig az online bűnözők észrevétlenül irányíthatják át kártékony kódokat terjesztő, vagy egyéb visszaélésekre használt honlapokra.
Félrenavigálhatják a netezőket
Mint tegnapi cikkünkben összefoglaltuk: azok a szerverek váltak bizonyos értelemben védtelenné, melyeken keresztül valamennyi internetező "kijut" a világhálóra, ezért nincs olyan felhasználó, akit potenciálisan ne fenyegetne a veszély. Egyszerű előfizetőként az elővigyázatosságon túl nem lehet mit tenni: most a rendszergazdákon van a sor, ám a statisztikából kiderült, hogy felük a füle botját sem mozgatta.
A veszély abban rejlik, hogy a böngészőbe beírt internetcím helyett valami egészen más helyre jut el a netező. Ilyenkor nem egyszerűen "téves kapcsolás" történik, hanem egy rosszindulatú felhasználó által kialakított áloldalra vetődhet a felhasználó anélkül, hogy ezt észrevenné. Aki internetbankot használ, előfordulhat, hogy a küllemre ugyanúgy kinéző, ám egy bűnöző által elkészített weblapra jut, ahol gyanútlanul megadja felhasználónevét és jelszavát, ám azzal nem a bankszámlájához jut hozzá, hanem tudtán és akaratán kívül elküldi ezeket az adatokat az adathalásznak. Ugyanez bármilyen más oldallal is előfordulhat: kormányzati weboldalakhoz, e-mail postafiókokhoz, fórumokhoz, társkeresőkhöz való hozzáférést biztosító jelszavak ezreit gyűjthetik össze a Kaminsky-féle sebezhetőséget kihasználó hackerek - feltéve, ha az internetszolgáltató rendszergazdája nem telepítette a hibát javító szoftvert.
Magyarországon is vannak hibák
Tegnapi tesztünk során még azt láttuk: az egyik jelentős hazai internetszolgáltató, egy minisztérium, és egy oktatási hálózat szerverei frissítetlenek voltak - azaz ha valamelyiket azóta megtalálta egy hacker, igencsak kellemetlen helyzetbe sodorhatja az az adott hálózat előfizetőit, köztisztviselőit és diákjait. Ma körkérdést intéztünk néhány internetszolgáltatóhoz, hogy saját bevallásuk szerint javították-e a DNS-szervereket.
Válaszolt az Invitel
Cikkünk megjelenése után válaszolt az Invitel, miszerint a szerverekhez kiadott javítást már korábban telepítették.A UPC-től kapott tájékoztatás szerint frissítették a névszerverek szoftverét és le is tesztelték azokat. Hasonlóképpen nyilatkozott a GTS-Datanet is, határozottan állítva, hogy előfizetőiknek már biztonságos a netezés. Az Externetet nem értük el, a vállalatnak csak ügyfélszolgálati telefonszáma van, amit nem vettek fel. Az Invitel egyik ügyfele tegnap letesztelte a szolgáltató DNS-szerverét, és akkor azt az üzenetet kapta, hogy még nem telepítették a hibát javító szoftvert. A ma délelőtt a szolgáltatónak feltett kérdésünkre délután fél háromig nem érkezett válasz: ezek szerint a szolgáltató ügyfeleinek van miért aggódniuk. A T-Online-tól kapott tájékoztatás szerint a vállalat olyan beállításokkal használja DNS-szoftverét, amely önmagában alkalmas arra, hogy a névszerverek többségét érintő jelenlegi fenyegetettséget megelőzze.
Mit tehet az ügyfél?
Az egyszerű internetezők, akik otthoni gépükön keresztül kapcsolódnak a világhálóra, a Kaminsky weboldalán ellenőrizhetik saját internetszolgáltatójukat. A honlap jobb oldalán található Check My DNS gombra bökve a látogató egyszerűen megnézheti, hogy ki van-e téve veszélynek. Ha az internetszolgáltató hanyag volt, a Your name server, at 100.100.100.100, appears vulnerable to DNS Cache Poisoning feliratot láthatja (a szövegben szereplő számok eltérhetnek, az nem érdekes). Ha a szolgáltató frissítette a szoftvert, a Your name server, at 100.100.100.100, appears to be safe, but make sure the ports listed below aren't following an obvious pattern szöveg olvasható (a számoknak itt sincs jelentőségük). Ha a Doxpara szerint probléma van a szerverrel, azt azonnal jelezni kell a rendszergazdának - ez a legegyszerűbb esetben azt jelenti, hogy az internetszolgáltató hibabejelentő számát kell tárcsázni. Ekkor még lehet internetezni, de azzal a szigorítással, hogy a felhasználóneveket, jelszavakat nem szabad megadni egyik weboldalon sem, hiszen nem tudható, hol is jár éppen a netező.
Szerver a Debreceni Egyetemen (képünk illusztráció)
A családi netmegosztást, otthoni hálózatot üzemeltetők túlnyomó többsége nincs veszélyben - válaszolta a kérdésünkre Szalkai Ákos, a 2F cég vezető informatikai tanácsadója. A legtöbb ilyen felhasználásra szánt - úgynevezett SoHo, azaz Small Office, Home - eszköz ugyanis úgy van beállítva, hogy minden kérést automatikusan a netszolgáltató DNS-szerverének továbbítanak. Azok a berendezések, amelyek a felhasználó kényelmének növelése miatt helyi gyorsítótárat alkalmaznak sebezhetőek lehetnek, ám a szakember szerint ez csak a rosszul beállított otthoni eszközök esetén jelent közvetlen veszélyt. Akik ennek ellenére mégsem érzik magukat biztonságban, még mindig beállíthatják routerükön az OpenDNS szolgáltatás szervereit (208.67.222.222 és 208.67.220.220) alapértelmezettnek. Az ehhez szükséges összes információ elérhető a szolgáltató kezdőknek szánt segítő oldalán.
Nagy szerencséjük a felhasználóknak, hogy a támadás nem elsősorban az ő eszközeik ellen irányul, mert az általunk felhívott forgalmazók ügyfélszolgálatain nem tudtak segítséggel szolgálni. Az elsőként felhívott Linksysnél általános "Érinti-e a DNS-hiba az otthoni használatra szánt Linksys eszközöket?" kérdésünkkel továbbirányítottak minket a cég angol honlapjának tudásbázisára. Itt azonban nem találtunk a sebezhetőségről szóló információs lapot. Pechesebb a felhasználó, ha D-Link routerrel osztja meg a netet otthon, mert a márka telefonos ügyfélszolgálata jelenleg szünetel, sőt a küldött levelekre is csak a jövő héttől tudnak válaszolni.
Végső elkeseredésünkben az harmadik elterjedt márkánál, az SMC-nél is megpróbáltuk érdeklődni, ám a támogatás kéréséhez szükséges regisztrációs felületen nem sikerült túljutni. A cég legközelebbi telefonos ügyfélszolgálata Csehországban található, ennek számát tárcsázva egy férfihang olvassa fel csehül az elérhető menüpontokat - itt adtuk fel a próbálkozást. A fentiek szerint a gyártók ügyfélszolgálata rosszul vizsgázott ennek a komoly fenyegetettségnek az árnyékában.
Új támadókódok érkeztek
Valószínűleg a hackerek sem pihenéssel töltötték az utóbbi napot, hiszen mára újabb támadókódok jelentek meg a Kaminsky-féle DNS sebezhetőséghez. A legjobb hazai számítógépes biztonsági blognak számító Buhera hívta fel a figyelmet egy olyan bárki számára szabadon letölthető támadásra, amellyel az egy webcímhez tartozó összes bejegyzés átírható.
Az egyszerű internetelőfizetők tehát a saját szolgáltatójuk hálózatának leellenőrzésén kívül semmit nem tehetnek. Annál többet azok a rendszergazdák, akik még nem frissítették a névszerverek szoftvereit: rajtuk múlik, hogy a felelősségükre bízott felhasználók biztonságosan tudnak-e netezni, vagy sem.