Kéž by byl DNSSEC všude

Jak si povídám s mnoha lidmi o technologii DNSSEC, setkal jsem se s názorem, že trochu přeháníme, že možnost napadnout DNS server je pouze teoretická a že se vlastně nic neděje. Proto bych rád uvedl jednu poměrně dobře popsanou kauzu, na kterou před časem upozornil Websense. DNS servery jednoho ISP v Číně byly napadeny právě cache poisoningem. A nebyl to ISP nijak malý, mluvíme o China Netcom (CNC) s 20 milióny broadband uživatelů a se 110 miliony dialupisty! Nešlo o zcela klasický útok proti konkrétní stránce. Totiž v případě, že zákazník CNC napíše špatnou adresu, je přesměrován na reklamní stránku CNC. Ta slouží k vylepšení příjmů CNC a je jistě celkem hojně navštěvována. Nicméně v důsledku útoku byli zákazníci přesměrováni na stránky útočníka, které se snažily zneužít chyby v prohlížeči a pluginech a zavirovat počítače zákazníků.

Je evidentní, že CNC díky počtu uživatelů útočníky láká, ale je jen otázkou času, kdy přijdou útoky i proti menším sítím (tedy jestli už nepřišly). Získat na Internetu program, který na DNS útočí je otázka pár minut…

Ondřej Filip

Autor:

Komentáře (3)

  1. Sergey Myasoedov říká:

    Kdy bude možné dodávat NSEC záznamy v CCTLD .CZ?

  2. Ondřej Filip říká:

    Dobry den,
    nejsem si jisty, zda-li dobre rozumim Vasemu dotazu. Ale DNSSEC je v .cz spusten. Muzete pres nektere z registratoru posilat DS zaznamy do zony a tim tedy DNSSEC vyuzit a podepsat svou domenu.

Zanechte komentář