Jeśli podczas surfowania w Internecie natkniemy się na witryny kuszące tytułową frazą, radzimy nie cieszyć się przedwcześnie. Najprawdopodobniej trafiliśmy na kolejną stronę, która w bardziej bądź mniej sprytny sposób próbuje wyłudzić od nas pieniądze. W tym przypadku jest to skłonienie nas do wykupienia usługi dostępu do „super gadżetów: gier java, dzwonków tapet i innych”. Płatność odbywa się za pomocą SMS Premium (2,46 PLN/SMS – 4 SMS/tydzień lub 7,38 PLN/SMS – 1 SMS/tydzień). Organizatorem „promocji” jest firma holenderska. Aby zobrazować rząd wielkości korzyści majątkowych pochodzących z nieuwagi internautów, można przytoczyć informację prasową o przejęciu wspomnianej spółki przez spółkę niemiecką (obie działające w tym samym obszarze rynku). Wartość przejęcia: 20 milionów euro w gotówce oraz 1,9 miliona euro w nowowyemitowanych akcjach a także spłata długu w wysokości 9,8 miliona euro. Przewidywany roczny przychód nowej spółki – 95 milionów euro, zysk EBITA – 18 milionów euro.

(more…)

Bez wątpienia DNS jest jedną z najważniejszych usług w internetowym ekosystemie, zarówno dla zwykłych użytkowników, firm jak i przestępców. Paradoksalnie, przezroczystość i wszechobecność DNSu powoduje, że wielu administratorów nie zdaje sobie sprawy jak poważne konsekwencje mogą nieść za sobą udane ataki na DNS. Nie chodzi tutaj o podatności w samym protokole (jak na przykład ta opisywana przez nas wcześniej), ale o całkowite przejęcie kontroli nad delegacją domeny bez wykorzystywania jakichkolwiek luk w oprogramowaniu. Jest to szczególnie ważne dla firm rozpowszechniających swoje produkty czy usługi w internecie – utrata wizerunku może kosztować gigantyczne sumy. Na nic zdadzą się firewalle, systemy IDS/IPS, biometryczna kontrola dostępu w siedzibie firmy, jeśli przestępca po prostu zaloguje się  do panelu rejestratora korzystając z wykradzionego lub odgadniętego hasła i zmieni delegację domeny (lub poszczególne wpisy). “Domain hijacking” dotknął między innymi Twittera, Secunię, ICANN, IANA i innych. Zazwyczaj efektem takiego działania jest podmiana strony WWW, ale bywają też ataki bardziej subtelne. Zobaczmy co może się stać w wypadku np. sklepu internetowego zaatakowanego przez kogoś, kto chce uzyskać korzyści finansowe:

• przestępca kontrolujący czyjąś domenę może zdobyć jej prawidłowy certyfikat SSL (korzystając z usług legalnych firm wydających certyfikaty na podstawie wpisu do DNS),

• może czytać pocztę kierowaną do użytkowników danej domeny, w szczególności odzyskać ich hasła do innych serwisów (np. poprzez użycie linka “resetuj hasło”),

• może dystrybuować złośliwe oprogramowanie wykorzystując zaufanie do marki ofiary,

• może zdobyć loginy, hasła, adresy email użytkowników (np. klientów) serwisów w przejętej domenie, co może doprowadzić do następnych włamań,

• może wyłudzać pieniądze – np. podstawiając fałszywy sklep.

Oczywiście możliwych scenariuszy jest dużo więcej, przestępcy z dnia na dzień stają się coraz bardziej kreatywni.

Sama konstrukcja protokołu DNS (mechanizm TTL) powoduje, że nawet gdy uda się szybko odzyskać kontrolę nad domeną i przywrócić prawidłowe wpisy, te stworzone przez przestępców mogą pozostać w wielu miejscach sieci (serwery cache) przez wiele dni.

Dlatego bardzo ważne jest by w panelu rejestratora domenowego używać mocnych, niesłownikowych haseł. Jeśli rejestrator oferuje dodatkowe zabezpieczenia (np. potwierdzenie operacji emailem) należy z nich korzystać. Nieodzowne jest też ciągłe monitorowanie konfiguracji domen i raportowanie wszelkich zmian.

Od początku stycznia grupa serwerów DNS zalewana jest pytaniami ze sfałszowanymi adresami IP nadawcy. Echa tych ataków widziane są w systemie wczesnego wykrywania zagrożeń sieciowych ARAKIS. W ruchu sieciowym pozyskanym do tej pory zidentyfikowaliśmy ok. 20 atakowanych serwerów DNS należących m.in. do Dynamic Network Services (znany jako DynDNS), Verisign, GoDaddy, eNom, Hurricane Electric, TelecityGroup, czy SoftLayer Technologies.

(more…)

W dniu 28 lipca 2009 Micha Krause zgłosił błąd dotyczący popularnego serwera DNS — BIND9, który okazał się być podatny na zdalny atak typu DoS (Denial-of-Service).

Wykorzystanie luki umożliwia wyłączenie serwera BIND9 za pomocą pojedynczego pakietu UDP, o ile atakowany serwer DNS jest serwerem typu master przynajmniej dla jednej ze stref. Należy przy tym pamiętać, że zgodnie z RFC 1912 Common DNS Operational and Configuration Errors każdy serwer DNS powinien być podstawowym serwerem dla stref specjalnych, typu localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa, 0.in-addr.arpa.

Atak polega na wykorzystaniu mechanizmu aktualizacji DNS opisanego w RFC 2136 Dynamic Updates in the Domain Name System (DNS UPDATE). Atakujący wysyła spreparowane zapytanie do serwera DNS z ustawioną wartością opcode na 5 (UPDATE) oraz rekordem ANY w sekcji Prerequisite. Przetworzenie takiego pakietu skutkuje niespełnioną asercją w funkcji dns_db_findrdataset(), i w efekcie kończy się wyjściem serwera BIND.

Warto w tym miejscu dodać, że w sieci pojawiły się rady, jak zablokować tego typu ataki przy pomocy prostej reguły w iptables. Niestety, są one nieskuteczne ponieważ RFC 2136 2.1 stanowi, że tego typu złośliwe zapytanie może zostać wysłane również przy użyciu protokołu TCP. Zalecanym rozwiązaniem jest aktualizacja serwera BIND do najnowszej wersji. Ostatecznie można zdecydować się również na blokowanie komunikacji do serwera master, zostawiając dostępne jedynie serwery slave. Warto tutaj nadmienić, że wyłączenie funkcji dynamicznej aktualizacji (np. poprzez opcję allow-update) – nie chroni przed opisywanym atakiem. (more…)

Sorry, but this post is not available in English

Sorry, but this post is not available in English