Internett får en patch, da DNS-feil er fast

Produsenter av programvaren som brukes til å koble datamaskiner på Internett til kollektivt utgitte programvareoppdateringer, tirsdag for å laste opp en alvorlig feil i en av internettets underliggende protokoller, domenenavnssystemet (DNS).

Feilen ble oppdaget "ved fullstendig ulykke", av Dan Kaminsky, en forsker med sikkerhetsleverandør IOActive. Kaminsky, en tidligere ansatt i Cisco Systems, er allerede kjent for sitt arbeid i nettverk.

Ved å sende bestemte typer forespørsler til DNS-servere, kan angriperen deretter omdirigere ofre bort fra et legitimt nettsted - si Bofa.com - til et ondsinnet nettsted uten at offeret innser det. Denne type angrep, kjent som DNS-cache-forgiftning, påvirker ikke bare Internett. Det kan brukes til å omdirigere all Internett-trafikk til hackers servere.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Feilen kan utnyttes som et phishing-angrep uten å sende deg e-post, "sier Wolfgang Kandek, teknisk sjef med sikkerhetsselskapet Qualys.

Selv om denne feilen påvirker noen hjemmevirksomhet og klient DNS-programvare, er det for det meste et problem for bedriftsbrukere og Internett-leverandører (Internett-leverandører) som kjører DNS-serverne som brukes av PCer for å finne veien rundt på Internett, sa Kaminsky. "Hjemmebrukere bør ikke få panikk," sa han i en tirsdagskonferanse.

Etter å ha oppdaget feilen for flere måneder siden, avrundet Kaminsky umiddelbart en gruppe på rundt 16 sikkerhetseksperter som var ansvarlige for DNS-produkter, som møtte Microsoft den 31. mars å hamre ut en måte å fikse problemet på. "Jeg kontaktet de andre gutta og sa:" Vi har et problem, "sa Kaminsky. "Den eneste måten vi kunne gjøre dette på, er om vi hadde en samtidig utgivelse på alle plattformer."

Denne massive feilopprettingen skjedde på tirsdag da flere av de mest brukte leverandørene av DNS-programvare utgitt patcher. Microsoft, Cisco, Red Hat, Sun Microsystems og Internet Software Consortium, beslutningstakere av den mest brukte DNS-serverprogramvaren, har alle oppdatert programvaren for å løse problemet.

Internet Software Consortiums åpen kildekode BIND (Berkeley Internet Name Domain) -programvaren kjører på omtrent 80 prosent av internettets DNS-servere. For de fleste BIND-brukere vil reparasjonen være en enkel oppgradering, men for de anslåtte 15 prosent av BIND-brukere som ikke har flyttet til den nyeste versjonen av programvaren, BIND 9, kan det være litt vanskeligere.

Det er fordi eldre versjoner av BIND har noen populære funksjoner som ble endret da BIND 9 ble utgitt, ifølge Joao Damas, senior programleder for Internet Software Consortium.

Kaminsky's bug har å gjøre med måten DNS-klienter og servere får informasjon fra andre DNS-servere på Internett. Når DNS-programvaren ikke kjenner IP-adressen (Internet Protocol) til en datamaskin, spør den en annen DNS-server for denne informasjonen. Med cacheforgiftning, traff angriperen DNS-programvaren til å tro at legitime domener, for eksempel Bofa.com, kartlegger ondsinnede IP-adresser.

Sikkerhetsforskere har kjent om måter å starte disse cacheforgiftningsangrepene mot DNS-servere i noen tid nå, men vanligvis krever disse angrep at angriperne sender mye data til DNS-serveren de prøver å infisere, noe som gjør angrepene enklere å oppdage og blokkere. Kaminsky oppdaget imidlertid en langt mer effektiv måte å starte et vellykket angrep på.

Fordi Kaminskys feil ligger i selve DNS-designet, er det ingen enkel måte å løse det på, sier Damas. I stedet har selskaper som ISC lagt til et nytt sikkerhetsmål for deres programvare som gjør det vanskeligere for cacheforgiftning å jobbe.

På lang sikt vil imidlertid den mest effektive måten å håndtere cacheforgiftning være å vedta en sikrere versjon av DNS, kalt DNSSEC, sa Danny McPherson, sjefforsker med Arbor Networks. Tirsdagens løsning er i utgangspunktet "en hack som gjør det mye vanskeligere," sa han. "Men det løser ikke roten problemet."

Kaminsky sier at han vil gi nettverksadministratorer en måned til å lappere sin programvare før han avslører mer tekniske detaljer om feilen ved neste måneds Black Hat-konferanse i Las Vegas. I mellomtiden har han lagt inn kode på sitt nettsted som gjør det mulig for brukerne å se om bedriftens eller ISPs DNS-server har blitt patched.