Kaminsky: DNS da się zaatakować na wiele sposobów

Luka w systemie DNS, którą kilka miesięcy temu wykrył (i niedawno ujawnił) Dan Kaminsky jest znacznie poważniejsza, niż sądzą niektórzy i można ją wykorzystać do atakowania użytkowników na wiele różnych sposobów. Kaminsky przedstawił szczegółowe informacje o problemie - oraz o tym, co działo się po jego wykryciu - podczas konferencji BlackHat Security w Las Vegas.

"Były nocne telefony od instytucji zajmujących się bezpieczeństwem, były inwektywy ze strony niektórych kolegów po fachu, było nieplanowane udostępnienie mojej prezentacji... Ale mimo tego wszystkiego, gdybym raz jeszcze miał podjąć decyzję o tym, czy ujawniać ten błąd, zrobiłbym to jeszcze ponownie" - opowiadał Kaminsky podczas swojego wystąpienia.

Specjalista przyznał, że przez ostatnie kilka miesięcy "sprawa luki w DNS" była jego główny zajęciem. Najpierw - pod koniec ubiegłego roku, przez przypadek wykrył ów błąd (o którym szerzej pisaliśmy m.in. w tekście "Luka w DNS ujawniona - wkrótce ataki?"). Gdy po wszystkich niezbędnych analizach okazało się, że problem jest bardzo poważny, Kaminsky zaczął informować o nim wszystkich najważniejszych graczy z rynku IT (w tym przede wszystkim firmy oferujące produkty związane z DNS - np. serwery). Chodziło o to, by wszyscy mieli czas na przyjrzenie się luce i przygotowanie - mniej więcej w tym samym czasie - odpowiednich poprawek.

Oficjalnie o luce poinformowano dopiero 7 lipca - czyli w dniu, w którym udostępniony został pierwszy pakiet poprawek dla DNS (przygotowali je m.in. Microsoft, Cisco czy OpenDNS). Odnotować trzeba, że owe poprawki nie są klasycznymi patchami - nie usuwają one błędu (ponieważ znajduje się on w samym protokole Domain Name System), a tylko zabezpieczają użytkownika danego oprogramowania przed atakiem.

Do tej pory mówiło się, że podstawową metodą wykorzystania owej luki do zaatakowania internauty jest przejęcie kontroli nad serwerem DNS, z którego korzysta, i przekierowanie go na niebezpieczną stronę WWW. Dan Kaminsky ujawnił jednak podczas BlackHat, że to tylko czubek góry lodowej. Zdaniem specjalisty, przestępcy mogą wykorzystać lukę także do przechwytywania wiadomości e-mail, przejmowania kontroli nad systemami automatycznej aktualizacji czy modyfikowania mechanizmów odzyskiwania haseł, stosowanych na stronach WWW wymagających logowania.

Ale to nie wszystko - Kaminsky stwierdził także, że wbrew temu co sądzą niektórzy specjaliści, korzystanie z szyfrowanych połączeń SSL nie zabezpiecza użytkownika przed atakiem. "Problem polega na tym, że firmy korzystające z SSL wykorzystują do autoryzowania połączeń dane przesyłane z wykorzystaniem serwerów DNS. Jak sądzicie, czy takie rozwiązanie gwarantuje bezpieczeństwo w świetle tego, co wiemy o luce w DNS? Nie bardzo..." - mówił Kaminsky.

"Obawiamy się także fali ataków typu "zapomniałem hasła". Luka pozwala przestępcom na łatwe wykradania haseł dostępu do serwisów internetowych czy poczty - wystarczy, że wyślą oni za pomocą mechanizmu odzyskiwania hasła prośbę o jego przypomnienie. Następnie - korzystając z luki w DNS - będą w stanie przekierować wiadomość z odpowiedzią - tak, by trafiła do nich, a nie do właściwego adresata" - opowiadał specjalista.

Warto odnotować, że część gości BlackHat z pewnym sceptyzmem potraktowała opowieści Kaminsky'go - ich zdaniem doniesienia o zagrożeniu są przesadzone. Specjalisty bronił m.in. David Ulevitch, szef projektu OpenDNS. "Kaminsky wykonuje bardzo pożyteczną pracę, która przyczyni się do poprawy bezpieczeństwa w Sieci. Obawiam się, że skali problemu związane z luką w DNS nikt nie jest jeszcze w stanie pojąć - mamy tu bowiem do czynienia z błędem, który naraża wszystkich - dosłownie wszystkich - użytkowników Internetu" - tłumaczył Ulevitch.