Codul de atac eliberat pentru noul atac DNS

Codul de atac a fost lansat miercuri de către dezvoltatorii setului de instrumente de hacking Metasploit. codul poate oferi infractorilor o modalitate de a lansa atacuri phishing aproape nedetectabile împotriva utilizatorilor de Internet ale căror furnizori de servicii nu au instalat cele mai recente patch-uri de servere DNS.

[A se citi: Cea mai bună casetă NAS pentru streaming media și backup]

codul pentru a redirectiona in mod silentios utilizatorii la fake servere de actualizare a software-ului pentru a instala programe malitioase pe calculatoarele lor, a declarat Zulfikar Ramizan, director tehnic al Symantec. "Ceea ce face acest lucru cu adevărat înfricoșător este că, dintr-o perspectivă a utilizatorului final, este posibil să nu observe nimic", a spus el.

Eroarea a fost dezvăluită pentru prima oară de cercetătorul IOA Dan Dan Kaminsky la începutul acestei luni, însă detaliile tehnice ale defectului sa scurs pe Internet la începutul acestei săptămâni, făcând posibil acest cod Metasploit. Kaminsky a lucrat timp de mai multe luni cu furnizori importanți de software DNS, cum ar fi Microsoft, Cisco și Internet Systems Consortium Consortium (ISC), pentru a dezvolta o soluție pentru această problemă. Utilizatorii corporativi și furnizorii de servicii Internet care sunt principalii utilizatori ai serverelor DNS au avut de la 8 iulie să patch-uri defectul, dar mulți nu au instalat încă fixul pe toate serverele DNS.

Atacul este o variantă a ceea ce este cunoscut un atac de intoxicare în cache. Aceasta are legătură cu modul în care clienții și serverele DNS obțin informații de la alte servere DNS de pe Internet. Atunci când software-ul DNS nu cunoaște adresa IP (Internet Protocol) numerică a unui computer, acesta solicită un alt server DNS pentru aceste informații. În cazul otrăvirii în cache, atacatorul trudează software-ul DNS pentru a crede că domenii legitime, cum ar fi idg.com, hărtesc adresele IP periculoase.

În atacul lui Kaminsky, o încercare de intoxicare în cache include, de asemenea, ceea ce este cunoscut sub numele de ". Prin adăugarea acestor date, atacurile devin mult mai puternice, spun experții în securitate.

Un atacator ar putea lansa un astfel de atac împotriva serverelor de nume de domeniu ale furnizorului de servicii Internet (ISP) și apoi să le redirecționeze către servere rău intenționate. Prin otrăvirea înregistrării numelui de domeniu pentru www.citibank.com, de exemplu, atacatorii ar putea să redirecționeze utilizatorii ISP către un server de phishing rău intenționat de fiecare dată când au încercat să viziteze site-ul bancar cu ajutorul browserului lor Web

Luni, compania de securitate Matasano a postat accidental detalii despre defect pe site-ul său Web. Matasano a îndepărtat rapid postul și și-a cerut scuze pentru greșeala sa, dar a fost prea târziu. Detaliile defectelor se răspândesc în curând pe internet.

Deși o soluție software este acum disponibilă pentru majoritatea utilizatorilor de software DNS, poate fi nevoie de timp pentru ca aceste actualizări să funcționeze în procesul de testare și să se instaleze în rețea.

"Majoritatea oamenilor nu au patch-uri încă", a declarat președintele ISC, Paul Vixie, într-un interviu de poștă electronică la începutul acestei săptămâni. "Aceasta este o problemă gigantică pentru lume."

Codul lui Metasploit pare "foarte real" și folosește tehnici care nu au fost documentate anterior, a declarat Amit Klein, tehnician șef al Trusteer. a prezis el. "Acum, că explozia este acolo, combinată cu faptul că nu toate serverele DNS au fost actualizate … atacatorii ar trebui să poată otrăvi cache-ul unor ISP", a scris el într-un interviu prin e-mail. "Chestia este că s-ar putea să nu știm niciodată despre astfel de atacuri, dacă atacatorii … lucrează cu atenție și își acoperă corect pista".