Sondaj: Un server DNS din 10 este "trivial vulnerabil"

Mai mult de 10% din serverele de DNS (Domain Name System) ale Internetului sunt încă vulnerabile la atacurile de cache-otrăvire, potrivit unui WorldWideSurvey of nameservers. aceasta fiind de cateva luni de la data la care vulnerabilitatile au fost dezvaluite si fixate, a declarat expertul DNS Cricket Liu, a carui companie, Infoblox, a comandat ancheta anuala.

"Estimam ca exista 11.9 milioane nume de servere acolo si peste 40%, așa că acceptă interogări de la oricine, dintre care un sfert nu este patch-uri, deci există 1,3 milioane de nume de servere care sunt vulnerabile în mod trivial ", a declarat Liu, vicepreședinte al departamentului de arhitectură al Infoblox. din Vânt Oricum, serverele DNS ar putea permite recursivitatea, dar nu sunt deschise tuturor, deci nu au fost luate de sondaj, a spus el.

Liu a spus vulnerabilitatea în caz de otrăvire în cache, adesea numită după Dan Kaminsky, cercetătorul de securitate care a publicat detalii despre el în iulie, este autentic: "Kaminsky a fost exploatat în câteva zile de la publicare", a spus el.

Modulele care vizează vulnerabilitatea au fost adăugate la instrumentul de testare și penetrare Metasploit, de exemplu. In mod ironic, unul dintre primele servere DNS compromise de un atac de intoxicare cu cache a fost unul folosit de autorul lui Metasploit, HD Moore.

Pentru moment, antidotul pentru defectiunea cu cache-ul este randomizarea portului. Prin trimiterea interogărilor DNS de la diferite porturi sursă, acest lucru face mai greu pentru un atacator să ghicească portul pentru a trimite date otrăvite.

Totuși, aceasta este doar o remediere parțială, a avertizat Liu. "Randomizarea porturilor atenuează problema, dar nu face imposibil un atac", a spus el. "Este într-adevăr doar un stopgap pe calea criptografică de verificare, ceea ce face extensiile de securitate DNSSEC.

" DNSSEC va dura mai mult timp pentru a implementa, deși există o mulțime de infrastructură implicată - cheie gestionarea, semnarea zonei, semnarea cheii publice și așa mai departe. Am crezut că am putea vedea o apreciere notabilă în adoptarea DNSSEC în acest an, dar am văzut doar 45 de înregistrări DNSSEC dintr-un milion de eșantioane. Anul trecut am văzut 44 de ani. "

Liu a spus că, din perspectivă pozitivă, sondajul a dat naștere mai multor știri bune. De exemplu, sprijinul pentru SPF - cadrul politic al expeditorului, care combate spoofing-ul de e-mail - a crescut in ultimele 12 luni de la 12,6% din zonele la 16,7%.

In plus, numarul sistemelor Microsoft DNS nesigure, conectate la Internet, a scazut de la 2,7% din total la 0,17%. aceste sisteme ar putea fi încă utilizate în interiorul organizațiilor, însă a spus că este important că "oamenii se îndepărtează de conectarea lor la Internet".

În perspectivă, Liu a spus că numai organizațiile cu o nevoie specifică de DNS recursivă deschisă serverele - și capacitatea tehnică de a nu fi inundate - ar trebui să le execute.

"Mi-ar plăcea să văd procentul de servere recursive deschise, pentru că, chiar dacă sunt patch-uri, fac mari amplificatoare pentru negare de atacuri de serviciu ", a spus el." Nu putem scapă de servere recursive, dar nu trebuie să le permiteți nimănui să le folosească. "