Ataki na konfiguracje DNS

Data publikacji: 13/07/2011, CERT Polska

padlockBez wątpienia DNS jest jedną z najważniejszych usług w internetowym ekosystemie, zarówno dla zwykłych użytkowników, firm jak i przestępców. Paradoksalnie, przezroczystość i wszechobecność DNSu powoduje, że wielu administratorów nie zdaje sobie sprawy jak poważne konsekwencje mogą nieść za sobą udane ataki na DNS.

Nie chodzi tutaj o podatności w samym protokole (jak na przykład ta opisywana przez nas wcześniej), ale o całkowite przejęcie kontroli nad delegacją domeny bez wykorzystywania jakichkolwiek luk w oprogramowaniu. Jest to szczególnie ważne dla firm rozpowszechniających swoje produkty czy usługi w internecie – utrata wizerunku może kosztować gigantyczne sumy. Na nic zdadzą się firewalle, systemy IDS/IPS, biometryczna kontrola dostępu w siedzibie firmy, jeśli przestępca po prostu zaloguje się  do panelu rejestratora korzystając z wykradzionego lub odgadniętego hasła i zmieni delegację domeny (lub poszczególne wpisy). „Domain hijacking” dotknął między innymi Twittera, Secunię, ICANN, IANA i innych. Zazwyczaj efektem takiego działania jest podmiana strony WWW, ale bywają też ataki bardziej subtelne. Zobaczmy co może się stać w wypadku np. sklepu internetowego zaatakowanego przez kogoś, kto chce uzyskać korzyści finansowe:

  • przestępca kontrolujący czyjąś domenę może zdobyć jej prawidłowy certyfikat SSL (korzystając z usług legalnych firm wydających certyfikaty na podstawie wpisu do DNS),
  • może czytać pocztę kierowaną do użytkowników danej domeny, w szczególności odzyskać ich hasła do innych serwisów (np. poprzez użycie linka „resetuj hasło”),
  • może dystrybuować złośliwe oprogramowanie wykorzystując zaufanie do marki ofiary,
  • może zdobyć loginy, hasła, adresy email użytkowników (np. klientów) serwisów w przejętej domenie, co może doprowadzić do następnych włamań,
  • może wyłudzać pieniądze – np. podstawiając fałszywy sklep.

Oczywiście możliwych scenariuszy jest dużo więcej, przestępcy z dnia na dzień stają się coraz bardziej kreatywni.

Sama konstrukcja protokołu DNS (mechanizm TTL) powoduje, że nawet gdy uda się szybko odzyskać kontrolę nad domeną i przywrócić prawidłowe wpisy, te stworzone przez przestępców mogą pozostać w wielu miejscach sieci (serwery cache) przez wiele dni.

Dlatego bardzo ważne jest by w panelu rejestratora domenowego używać mocnych, niesłownikowych haseł. Jeśli rejestrator oferuje dodatkowe zabezpieczenia (np. potwierdzenie operacji emailem) należy z nich korzystać. Nieodzowne jest też ciągłe monitorowanie konfiguracji domen i raportowanie wszelkich zmian.