A je to tady zase… aneb vzdálený DoS na Bind9

Včera (chtěl jsem napsat dneska, ale to už jsem o nějakých 40 minut nestihl), přibyla v systému na sledování chyb, který provozuje Debian, nová chybka. Bohužel se nakonec ukázalo, že to nebyla ani chybka, ani chyba, ale přímo velechyba (vzor ryba :)).

Tudíž pozor – ve všech verzích Bind9 je chyba, která umožní útočníkovi pomocí speciálně vytvořené DNS zprávy (a kód na vytvoření takové zprávy byl rovnou přiložen v hlášení chyby) shodit váš DNS server. Tedy za předpokladu, že takový DNS server obsahuje alespoň jednu autoritativní doménu, která je útočníkovi známa.

Aktualizace: DNS serveru musí pro konkrétní zónu být master. A mimochodem do toho spadají i rekurzivní servery, které se řídí RFC1912 sekcí 4.1, a obsluhují zóny localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa a 0.in-addr.arpa.

Obrany jsou dvě, z toho jedna preventivní. První obranou je použít aktualizovanou verzi Bind9 (9.4.3-P3, 9.5.1-P3 nebo 9.6.1-P1). Druhou obranou, která je i prevencí, je neprovozovat DNS monokulturu. DNS je vcelku odolný protokol a tak mu většinou stačí, když běží alespoň jeden DNS server. Proto je obranou provozovat serverů více a používat různý DNS software. Pro autoritativní server je to například NSD. Tím zvýšíte pravděpodobnost, že podobný útok nepostihne všechny (což jsou u normálních doménových jmen většinou dva) autoritativní DNS servery, ale pouze jeden.

Podobná nebo jiná chyba se stejným způsobem může objevit u NSD, Bind9 může být pro změnu v pořádku. Jen je důležité nemít zranitelné všechny (oba) servery stejnou bezpečnostní chybou.

Ondřej Surý

První banka s DNSSEC

Technologie DNSSEC je tu především pro ty společnosti, které více než ostatní usilují o co největší internetovou bezpečnost. Informace na stránkách bank, médií a například úřadů mají natolik vysokou důležitost, která může svádět k jejich zneužití. Změnění bankovních indexů nebo významů novinových zpráv by mohlo vyvolat paniku, zmatek a řadu dalších negativních reakcí v celé společnosti.

V České republice už je řada společností, které si takovou hrozbu napadení uvědomují a dělají vše pro to, aby k němu nedošlo. Technologii DNSSEC zavedli jako první v Lidových novinách, poté se přidalo internetové knihkupectví Kosmas, společnost Internet Info provozující řadu informačních portálů, Vláda České republiky „podepsala“ doménu eu2009.cz a další.

Z výše uvedeného seznamu institucí operující s citlivými daty nám dosud chyběla banka, která by se chránila DNSSEC. Už ji máme. Do řady společností s zabezpečenými internetovými stránkami přibyla i Hypoteční banka. Radost ze zavedení máme určitě i my, na prvním místě je ale tato zpráva důležitá pro klienty této bankovní instituce. Ti totiž teď mají jistotu, že informace, které na stránkách  www.hypotecnibanka.cz najdou, budou zaručeně a pouze od zaměstnanců této banky.

Vilém Sládek

Jak získat IPv6 adresu?

Jedním z nejaktuálnějších internetových témat je přechod na „nový“ protokol IPv6. Protože i CZ.NIC usiluje o to, aby se o tomto tématu mluvilo, zařadil do programu konferencí Internet a Technologie 08 a 09 bloky přednášek týkající se IPv6.

Na základě prezentace na konferenci Internet a Technologie 09 s názvem „Praktická implementace IPv6“ vznikl návod, který vás ve finále dovede k získání “nové” IPv6 adresy. Návod je určen především zákazníkům těch poskytovatelů Internetu (ISP), jimž stále chybí podpora internetového protokolu verze 6. Jednotlivé kroky společně se zajímavými odkazy a radami najdete pod názvem “IPv6 tunelovací mechanismy – instalace a nastavení” na stránkách Technické podpory.

Vilém Sládek

Dáme se brzy nejlevnější cestou?

Kolegové z registru domén ve Velké Británii nedávno vyvinuli a vypustili aplikaci Enumdroid pro telefony s operačním systémem Android. Enumdroid při každém vytočení čísla pošle dotaz do DNS na ENUM záznamy a pokud nějaké najde (což bohužel není zrovna častý případ), zobrazí možnosti jak volat přes internet. Uživatel si potom může vybrat cestu, kterou chce zvolit.

Enumdroid je velmi pěknou ukázkou a „propagací“ ENUM, ale je to zároveň i první krůček i k něčemu mnohem zajímavějšímu – ke směrování nejlevnější cestou (tzv. least cost routing). To by znamenalo, že telefon dokáže podle přednastavených pravidel vyhodnotit, která cesta je v daném okamžiku nejlevnější a rovnou touto cestou bude směrovat hovor. Představte si např. takováto pravidla:“Pokud je přihlášeno k WiFi a číslo je v ENUM, volej vždy přes internet.“, „Pokud je přihlášeno k WiFi , číslo není v ENUM a je to pevná linka, volej pomocí VoIP operátora“ a „Pokud není v dosahu WiFi a číslo je mobilní, volej přes GSM.“.

Soubor takovýchto pravidel by si mohl nadefinovat uživatel sám, ale pravděpodobněji by jej dostal přímo od některého z operátorů. Navíc pokud by taková aplikace uměla pracovat třeba s tím, že by počítala provolané minuty a dokázala tedy využívat volné minuty v rámci tarifů mobilních operátorů, dostali bychom se ještě dále na zcela jinou úroveň té nejlevnější cesty. Každopádně pokud by se toho někdo chtěl ujmout, zdrojový kód Enumdroid je k dispozici.

PT