Jak si povídám s mnoha lidmi o technologii DNSSEC, setkal jsem se s názorem, že trochu přeháníme, že možnost napadnout DNS server je pouze teoretická a že se vlastně nic neděje. Proto bych rád uvedl jednu poměrně dobře popsanou kauzu, na kterou před časem upozornil Websense. DNS servery jednoho ISP v Číně byly napadeny právě cache poisoningem. A nebyl to ISP nijak malý, mluvíme o China Netcom (CNC) s 20 milióny broadband uživatelů a se 110 miliony dialupisty! Nešlo o zcela klasický útok proti konkrétní stránce. Totiž v případě, že zákazník CNC napíše špatnou adresu, je přesměrován na reklamní stránku CNC. Ta slouží k vylepšení příjmů CNC a je jistě celkem hojně navštěvována. Nicméně v důsledku útoku byli zákazníci přesměrováni na stránky útočníka, které se snažily zneužít chyby v prohlížeči a pluginech a zavirovat počítače zákazníků.
Je evidentní, že CNC díky počtu uživatelů útočníky láká, ale je jen otázkou času, kdy přijdou útoky i proti menším sítím (tedy jestli už nepřišly). Získat na Internetu program, který na DNS útočí je otázka pár minut…
Ondřej Filip
Kdy bude možné dodávat NSEC záznamy v CCTLD .CZ?
Dobry den,
nejsem si jisty, zda-li dobre rozumim Vasemu dotazu. Ale DNSSEC je v .cz spusten. Muzete pres nektere z registratoru posilat DS zaznamy do zony a tim tedy DNSSEC vyuzit a podepsat svou domenu.