Před třemi dny vydal US-CERT zprávu o bezpečnostním riziku DNS protokolu a opravě spousty implementací DNS, která zmenšuje riziko útoku na DNS, tzv. „cache poisoning„. Jedná se o útok, který dokáže podvrhnout falešnou odpověď na DNS dotaz. Ta se uloží do vyrovnávací paměti a dojde k tomu, že se podvržená informace dostane ke všem uživatelům příslušného caching name serveru. Zároveň se objevila stránka s testem vašeho DNS serveru, kde si můžete ověřit zda je zranitelný nebo ne.
Provedl jsem tedy cca 24 hodin po uveřejnění oznámení malý test, který měl zjistit, jak na tom budou jednotliví ISP v České republice. Obeslal jsem prosbou o otestování DNS výše uvedeným testem všechny v tu chvíli online kontakty ve svém ICQ a zde jsou ne moc potěšující výsledky:
20 lidí bylo obesláno
18 z nich odpovědělo s výsledkem testu
14 různých DNS serverů bylo otestováno (někteří z oslovených měli stejného providera a tudíž stejný DNS server)
10 serverů bylo zranitelných
4 servery byly bezpečné
A to dodejme, že zranitelný server měli všichni lidé se stejným providerem DNS. Ve výsledku jsou tedy 3/4 uživatelů potenciálními oběťmi napadení. Mezi zranitelnými byly navíc DNS servery velkých českých ISP, kteří by měli bezpečnostní incidenty a oznámení rozhodně sledovat a řídit se jimi. O to víc je asi nutné ocenit ty čtyři, kteří své servery zabezpečili: UPC, Jihočeskou univerzitu, Dial Telecom a T-Mobile. Klobouk dolů!
Opravy navíc pouze snižují riziko; jediné řešení, které problém odstraní na 100 %, je DNSSEC. Zavádění DNSSEC už je zase jiná kapitola se svými problémy… Dodejme ještě, že pro domény .cz je testovací provoz plánován už na srpen tohoto roku a plný provoz na září.
PT
ISP: Telefónica O2 Czech Republic, a.s.
Výsledek testu:
Your name server, at Fri Jul 11 20:56:08 2008, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.Requests seen for 5b92b58dc88b.toorrr.com:
Fri Jul 11 20:56:08 2008:undefined TXID=undefined
194.228.41.113:32923 TXID=4991
194.228.41.113:32923 TXID=38154
194.228.41.113:32923 TXID=15174
194.228.41.113:32923 TXID=33736
194.228.41.113:32923 TXID=31174
ISP: Internext 2000
Your name server, at Sat Jul 12 14:57:57 2008, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.
Už se situace zlepšila?
Obavam se, aby nebyla spis horsi nez v dobe psani clanku. S -P1 k bindu byly problemy se stabilitou a hlavne vykonem, takze je mozne ze nekde se i vratili zpet k deravym verzim. ISC o potencialnich problemech na hodne zatizenych serverech vedelo, chteli zakladni opravny patch vyslat do sveta co mozna nejdrive i s timhle rizikem.
Opravny release -P2 ktery to resici problemy s -P1 vysel teprve vcera…