A Dan Kaminsky nevével jegyzett internetes DNS-támadás lehetőségéről a nagyközönség 2008. július 8-án szerzett tudomást, amikor számos gyártó és fejlesztő előre egyeztetett módon, egyszerre jelentett be egy korábban ismeretlen hiba elleni védekezést segítő javítócsomagot.
A sebezhetőség súlyossága miatt egyedülálló összefogás született, és ennek eredménye volt az, hogy a hiba kijavítása napvilágra került, de a sérülékenység technikai részletei egy jó ideig nem. A rendszergazdáknak és az üzemeltetőknek tehát volt idejük arra, hogy a rendelkezésre álló javításokat teszteljék és telepítsék. (Két héttel a javítások bejelentése után kezdett körvonalazódni az Interneten a biztonsági probléma mibenléte.)
Felmerülhet a kérdés, hogy Magyarországon mennyire készültünk fel a súlyos probléma kezelésére és nyugodtan tölthetjük-e be kedvenc bankunk weboldalát az Interneten keresztül. Erre a kérdésre kereste a választ a BME Híradástechnikai Tanszékének CrySyS Laboratóriuma a 2008. augusztus 6-i vizsgálatai során. A szakemberek azt kívánták felderíteni, hogy a Magyarországon üzemelő DNS szerverek milyen arányban sebezhetők az új támadás szempontjából.
Fontos azonban tudni, hogy egy ilyen vizsgálat komplikált és nem mindig nyújt egyértelmű eredményt, mert nincsen olyan adatbázis, ahonnan kiolvasható lenne az összes szerver címe, vagy ismerhető lenne az összes hálózat egyedi beállítása. A vizsgálat tehát nem feltétlenül reprezentatív, de fontos információkkal szolgál a hazai biztonsági kultúra helyzetéről.
Vizsgálati eredmények
A CrySyS Laboratórium munkatársai összesen 5861 darab ismert magyar DNS kiszolgálót vizsgáltak meg. 2107 darab DNS szerver hajtott végre lekérdezést a szakemberek kérésére az 5861 darab ismert címből. Ezek közül 670 darab IP címen elérhető szerver alkalmazta az úgynevezett port-randomizációs védelmet, a többi 1437 nem. Vélhetőleg sebezhető, nem javított tehát a válaszoló szerverek 68 százaléka.
A CrySyS Laboratórium megvizsgálta a felhasználók többségét ellátó, legnagyobb internet szolgáltatók ügyfelei által elérhető fontosabb DNS szervereket is. Ennek eredménye az volt, hogy a legnagyobb cégek (kb. 15) közül a többség védekezik a hiba ellen, csak két olyan céget találtak, amelyek sebezhető DNS szerverrel is rendelkeztek.
Egy sérülékeny szerveren a támadó DNS bejegyzéseket módosíthat, legalábbis akkor, ha az érintett kiszolgálón futó tűzfal- vagy szerverszabályok engedik a külső lekérdezéseket, hozzáféréseket. (De a belső támadó még ekkor is kihasználhatja a sérülékenységet.)
A DNS sebezhetőség a phishing mellett egyes levelezőrendszerek támadását is elősegítheti. Továbbá súlyos gond, hogy automatikus frissítési szolgáltatásokat hamisíthatnak a támadók. Mindezek mellett nem elképzelhetetlen a hiba spammerek által történő kihasználása sem.
Aki kételkedik a saját böngészője mögött álló DNS szerver sebezhetetlenségében, használhatja a Kaminsky saját oldalán megtalálható ellenőrző programot. (http://www.doxpara.com/ , Check my DNS gomb.)
A cikk a CrySyS Laboratórium tanulmánya alapján készült. A vizsgálati eredmények és további érdekességek a laboratórium által kiadott, szabadon letölthető dokumentumban olvashatók.