GlobalSign Blog

Otrava vyrovnávací paměti DNS, známá také jako DNS spoofing, je útok, jehož cílem je najít a následně využít zranitelnosti, které existují v systému DNS neboli systému doménových jmen, a odvést tak organický provoz z legitimního serveru na falešný.

Hrozba otravy vyrovnávací paměti DNS se dostala do zpráv na začátku letošního dubna, kdy došlo k únosu DNS serverů kryptografického gigantu MyEtherWallet a přesměrování legitimních uživatelů na podvodnou webovou stránku.

V důsledku otravy vyrovnávací paměti bylo několik uživatelů oklamáno, aby před převodem svých kryptoměn do jiné digitální peněženky spojené s hackery odevzdali své klíče k peněžence. Celkem hackeři ukradli Ethereum v hodnotě asi sto šedesáti tisíc dolarů, než byl problém identifikován a zastaven.

Jedná se pouze o jeden příklad, který ilustruje, jak nebezpečné může být otrávení vyrovnávací paměti DNS. Dalším důvodem, proč je tento druh útoku nebezpečný, je to, že se může snadno šířit z jednoho serveru DNS na druhý.

V tomto článku se budeme zabývat tématem, jak otrava vyrovnávací paměti DNS funguje, a poté některými řešeními, která můžete použít k jejímu zastavení, pokud by se vám někdy stala.

Při každém kontaktu prohlížeče s doménovým jménem musí prohlížeč nejprve kontaktovat server DNS.
Servery DNS (Domain Name Servers) jsou internetovou obdobou telefonního seznamu. Spravují adresář doménových jmen a převádějí je na adresy IP (Internet Protocol).

Tento postup je nezbytný, protože i když si lidé doménová jména snadno zapamatují, počítače nebo stroje přistupují k webovým stránkám na základě adres IP.

Server pak odpoví alespoň jednou adresou IP (ale obvykle více), aby se váš počítač dostal k doménovému jménu. Jakmile se váš počítač připojí k adrese IP, systém DNS převede název domény na adresu IP, kterou může váš počítač přečíst.

Právě teď váš poskytovatel internetového připojení provozuje několik serverů DNS, z nichž každý ukládá do mezipaměti (nebo ukládá) informace i z jiných serverů. Směrovač Wi-Fi, který máte doma, funguje v podstatě také jako server DNS, protože ukládá do mezipaměti informace ze serverů vašeho poskytovatele internetového připojení.

K „otrávení“ mezipaměti DNS dojde, když server obdrží nesprávný záznam. Pro představu, může k tomu dojít, když hacker získá kontrolu nad serverem DNS a následně v něm změní informace.

Například může upravit informace tak, že server DNS bude uživatelům říkat, aby vyhledávali určitou webovou stránku s nesprávnou adresou. Jinými slovy, uživatel by zadal „správný“ název webové stránky, ale pak by byl odeslán na nesprávnou IP adresu, konkrétně na phishingovou webovou stránku.

Již dříve jsme zmínili, že jedním z důvodů, proč je otrávení mezipaměti DNS nebezpečné, je to, jak rychle se může šířit z jednoho serveru DNS na druhý. Toho je dosaženo, pokud a když více poskytovatelů internetových služeb přijímá své informace DNS z nyní hackery ovládaného serveru, což má za následek, že se „otrávený“ záznam DNS rozšíří k těmto poskytovatelům, aby byl uložen do mezipaměti.

Od tohoto okamžiku se může rozšířit na další servery DNS a domácí směrovače, stejně jako počítače budou vyhledávat záznam DNS jen proto, aby obdržely nesprávnou odpověď, což má za následek, že se obětí otravy stává stále více lidí. Teprve po vymazání otrávené mezipaměti na všech postižených serverech DNS bude problém vyřešen.

Jak se chránit před otrávením mezipaměti DNS

Jedním ze záludných aspektů otrávení mezipaměti DNS je, že bude velmi obtížné určit, zda jsou přijaté odpovědi DNS legitimní, nebo ne. V případě peněženky My Ethereum Wallet měli velmi omezené možnosti, jak situaci zabránit, a problém nakonec vyřešili poskytovatelé jejich serverů.

Naštěstí stále existuje řada opatření, která může vaše organizace přijmout, abyste takovému útoku zabránili, takže byste neměli nabýt dojmu, že otravě vyrovnávací paměti DNS je nemožné nebo téměř nemožné zabránit.

Jednou z věcí, kterou byste měli udělat, je například nechat své servery DNS nakonfigurovat odborníkem na IT tak, aby se jen velmi málo spoléhaly na vztahy s jinými servery DNS. Díky tomu je pro kyberzločince mnohem obtížnější použít svůj server DNS k poškození svých cílů, což znamená, že je méně pravděpodobné, že bude poškozen váš vlastní server DNS, a proto je méně pravděpodobné, že budete vy (a všichni ve vaší organizaci) přesměrováni na nesprávnou webovou stránku.

Dále můžete nechat své servery DNS nakonfigurovat tak, aby ukládaly pouze data, která se týkají konkrétně požadované domény, a omezit odpovědi na dotazy tak, aby poskytovaly pouze informace, které se týkají také požadované domény. Jde o to, že server bude nastaven tak, aby byly povoleny ke spuštění pouze požadované služby. Tím, že na serveru DNS poběží další služby, které nejsou vyžadovány, výrazně zvýšíte pravděpodobnost, že dojde k útoku.

Měli byste také zajistit, aby byla používána nejnovější verze systému DNS. Nejnovější verze totiž používají bezpečnostní prvky, jako je náhodná volba portů a ID transakcí, které jsou kryptograficky zabezpečené a pomáhají chránit před útoky typu „poisoning“.

Další důležitou obranou proti otravě vyrovnávací paměti DNS, jak radí společnost MyEtherWallet v oznámení po útoku, ke kterému došlo v dubnu 2018, je hledat v adresním řádku název společnosti (tedy v jejich případě „MyEtherWallet Inc“).
To znamená, že web používá certifikát EV SSL/TLS. To by pomohlo zabránit tomu, aby se lidé stali obětí útoku typu „poisoning“, protože by se ujistili, že na webové stránce hackera nezadávají své osobní údaje. Ne všechny společnosti používají na svých webových stránkách certifikát EV, takže se nejedná o spolehlivé opatření, ale může být užitečným nástrojem při snaze zjistit, zda jste na správném webu.

Certifikát SSL/TLS je jednoduše malý datový soubor nainstalovaný na webovém serveru, který dokáže svázat údaje o vaší organizaci s kryptografickým klíčem. Po jeho instalaci certifikát aktivuje protokol HTTPS a umožní bezpečné a šifrované spojení mezi prohlížečem a vaším webovým serverem. V případě certifikátů EV SSL/TLS se některé z těchto údajů o organizaci, včetně výše uvedeného názvu společnosti, zobrazí přímo v uživatelském rozhraní prohlížeče.

Závěr

Otrávení mezipaměti DNS (DNS cache poisoning) je situace, kdy útočník zneužije server DNS k odeslání podvržené odpovědi DNS, která bude uložena do mezipaměti legitimních serverů.

Následně budou uživatelé, kteří navštíví poškozenou doménu, odesláni na novou IP adresu, kterou zvolil hacker, což je obvykle škodlivá phishingová webová stránka, kde mohou být oběti zmanipulovány ke stažení malwaru nebo k odeslání přihlašovacích či finančních údajů.

Provedení výše uvedených kroků pomůže vaši organizaci ochránit před útoky typu DNS cache poisoning.

Poznámka: Tento článek na blogu napsal hostující autor s cílem nabídnout našim čtenářům širší škálu obsahu. Názory vyjádřené v tomto článku hostujícího autora jsou výhradně názory přispěvatele a nemusí nutně odrážet názory společnosti GlobalSign.

Napsat komentář