GlobalSign Blog

DNS-välimuistin myrkytys tunnetaan myös nimellä DNS-poofing, DNS-välimuistin myrkytys eli DNS cache poisoning eli DNS-välimuistin myrkytys on hyökkäys, jonka tarkoituksena on paikantaa DNS:ssä eli verkkotunnusjärjestelmässä olevat haavoittuvuudet ja käyttää niitä hyväkseen houkutellakseen luonnonmukaista liikennettä lailliselta palvelimelta väärennetylle palvelimelle.

DNS-välimuistin myrkyttämisen uhka nousi uutisiin aiemmin tämän vuoden huhtikuussa, kun kryptojätti MyEtherWalletin DNS-palvelimet kaapattiin ja ohjattiin lailliset käyttäjät phishing-sivustolle.

Välimuistin myrkyttämisen seurauksena useita käyttäjiä huijattiin luopumaan lompakkoavaimestaan ennen kuin he siirsivät kryptovaluuttojaan toiseen digitaaliseen lompakkoon, joka oli yhteydessä hakkereihin. Kaiken kaikkiaan hakkerit varastivat Ethereumia noin sadan kuusikymmentätuhannen dollarin arvosta ennen kuin ongelma tunnistettiin ja pysäytettiin.

Tämä on vain yksi esimerkki, joka havainnollistaa, kuinka vaarallista DNS-välimuistin myrkytys voi olla. Toinen syy, miksi tällainen hyökkäys on vaarallinen, on se, että se voi helposti levitä DNS-palvelimelta toiselle.

Tässä artikkelissa käsittelemme sitä, miten DNS-välimuistimyrkytys toimii, ja sen jälkeen joitakin ratkaisuja, joita voit soveltaa sen pysäyttämiseksi, jos se joskus sattuu kohdallesi.

Joka kerta, kun selaimesi ottaa yhteyttä verkkotunnukseen, sen on ensin otettava yhteyttä DNS-palvelimeen.
Domain Name Servers (DNS) on Internetin vastine puhelinluettelolle. Ne ylläpitävät verkkotunnusten hakemistoa ja kääntävät ne Internet Protocol (IP) -osoitteiksi.

Tämä on välttämätöntä, koska vaikka verkkotunnukset on ihmisten helppo muistaa, tietokoneet tai koneet käyttävät verkkosivuja IP-osoitteiden perusteella.

Palvelin vastaa tällöin vähintään yhdellä IP-osoitteella (mutta yleensä useammalla), jotta tietokoneesi voi tavoittaa verkkotunnuksen. Kun tietokoneesi muodostaa yhteyden IP-osoitteeseen, DNS muuntaa verkkotunnuksen IP-osoitteeksi, jota tietokoneesi voi lukea.

Juuri nyt Internet-palveluntarjoajallasi on käytössä useita DNS-palvelimia, joista kukin tallentaa välimuistiin (tai tallentaa) tietoja myös muilta palvelimilta. Kotonasi oleva Wi-Fi-reititin toimii periaatteessa myös DNS-palvelimena, sillä se tallentaa välimuistiin tietoja Internet-palveluntarjoajasi palvelimilta.

DNS-välimuisti ”myrkytetään”, kun palvelin vastaanottaa väärän merkinnän. Tämä voi tapahtua, kun hakkeri saa DNS-palvelimen hallintaansa ja muuttaa sen tietoja.

Hakkerit voivat esimerkiksi muuttaa tietoja niin, että DNS-palvelin käskee käyttäjiä etsimään tiettyä verkkosivustoa väärällä osoitteella. Toisin sanoen käyttäjä syöttäisi verkkosivuston ”oikean” nimen, mutta hänet lähetettäisiin sitten väärään IP-osoitteeseen ja nimenomaan phishing-sivustolle.

Aiemmin mainitsimme, että yksi syy siihen, miksi DNS-välimuistin myrkyttäminen on vaarallista, on se, miten nopeasti se voi levitä DNS-palvelimelta toiselle. Tämä tapahtuu, jos ja kun useat Internet-palveluntarjoajat saavat DNS-tietonsa nyt hakkerin hallitsemalta palvelimelta, mikä johtaa siihen, että ”myrkytetty” DNS-merkintä leviää kyseisille Internet-palveluntarjoajille välimuistiin.

Tästä eteenpäin se voi levitä muille DNS-palvelimille ja kotireitittimille sekä tietokoneet hakevat DNS-merkintää vain saadakseen väärän vastauksen, mikä johtaa siihen, että yhä useammat ihmiset joutuvat myrkytyksen uhreiksi. Vasta kun myrkytetty välimuisti on tyhjennetty jokaisella kärsineellä DNS-palvelimella, ongelma on ratkaistu.

Miten suojautua DNS-välimuistimyrkytykseltä

Yksi DNS-välimuistimyrkytyksen hankalista puolista on se, että on äärimmäisen vaikeaa määrittää, ovatko saamasi DNS-vastaukset laillisia vai eivät. My Ethereum Walletin tapauksessa heillä oli hyvin rajalliset keinot estää tilanteen syntyminen, ja ongelman ratkaisivat lopulta heidän palvelintensa palveluntarjoajansa.

Onneksi organisaatiollasi on vielä useita toimenpiteitä, joilla voit estää tällaisen hyökkäyksen tapahtumisen sinulle, joten sinun ei pitäisi olla siinä käsityksessä, että DNS-välimuistin myrkytys on mahdotonta tai lähes mahdotonta estää.

Yksi asia, joka sinun pitäisi esimerkiksi tehdä, on se, että tietotekniikan ammattilainen määrittää DNS-palvelimesi niin, että ne luottavat hyvin vähän suhteisiin muiden DNS-palvelimien kanssa. Näin verkkorikollisen on paljon vaikeampi käyttää DNS-palvelinta kohteidensa turmelemiseen, mikä tarkoittaa, että oma DNS-palvelimesi on epätodennäköisemmin turmeltunut ja näin ollen sinun (ja kaikkien organisaatiossasi olevien) on epätodennäköisempää, että sinut (ja kaikki organisaatiossasi olevat) ohjataan väärälle verkkosivustolle.

Voit lisäksi määrittää DNS-palvelimesi niin, että ne tallentavat vain sellaisia tietoja, jotka liittyvät nimenomaisesti pyydettyyn verkkotunnukseen, ja rajoittaa kyselyvastauksia siten, että ne antavat vain sellaisia tietoja, jotka koskevat niin ikään pyydettyä verkkotunnusta. Ajatuksena on, että palvelin asetetaan siten, että vain vaaditut palvelut saavat toimia. Jos DNS-palvelimella on ylimääräisiä palveluita, joiden suorittamista ei vaadita, lisäät huomattavasti hyökkäyksen todennäköisyyttä.

On myös varmistettava, että käytössä on DNS:n uusin versio. Tämä johtuu siitä, että uusimmissa versioissa käytetään tietoturvaominaisuuksia, kuten satunnaistettua porttia ja kryptografisesti suojattuja tapahtumatunnuksia, jotka auttavat suojautumaan myrkytyshyökkäyksiltä.

Toinen tärkeä suojautumiskeino DNS-välimuistimyrkytystä vastaan, kuten MyEtherWallet neuvoi tiedotteessaan huhtikuussa 2018 tapahtuneen hyökkäyksen jälkeen, on etsiä osoitepalkista yrityksen nimi (eli heidän tapauksessaan ’MyEtherWallet Inc’).
Tämä tarkoittaa, että sivusto käyttää EV SSL/TLS -varmentetta. Tämä auttaisi estämään ihmisiä joutumasta myrkytyshyökkäyksen uhriksi, koska he varmistaisivat, etteivät anna henkilökohtaisia tietojaan hakkerin sivustolle. Kaikki yritykset eivät käytä EV:tä sivustoillaan, joten tämä ei ole idioottivarma toimenpide, mutta se voi olla hyödyllinen apuväline, kun yrität selvittää, oletko oikealla sivustolla.

S SSL/TLS-varmenne on yksinkertaisesti verkkopalvelimelle asennettu pieni datatiedosto, joka voi sitoa organisaatiosi tiedot salausavaimeen. Kun varmenne on asennettu, se aktivoi HTTPS-protokollan, joka mahdollistaa turvallisen ja salatun yhteyden selaimen ja verkkopalvelimesi välillä. EV SSL/TLS -sertifikaattien tapauksessa osa organisaation tiedoista, kuten edellä mainittu yrityksen nimi, esitetään suoraan selaimen käyttöliittymässä.

Johtopäätös

Yhteenvetona voidaan todeta, että DNS-välimuistin myrkytys tarkoittaa sitä, että hyökkääjä käyttää DNS-palvelinta hyväkseen lähettääkseen väärennetyn DNS-vastauksen, jonka lailliset palvelimet tallentavat välimuistiin.

Sen jälkeen käyttäjät, jotka vierailevat vioittuneella verkkotunnuksella, lähetetään hakkerin valittuun uuteen IP-osoitteeseen, joka on tavallisesti haitallista kalastelua harjoittava verkkosivusto, jossa uhrit voidaan huijata lataamaan haittaohjelmia tai antamaan kirjautumis- tai taloudellisia tietoja.

Yllä mainittujen toimien toteuttaminen auttaa puolustautumaan DNS-välimuistin myrkytyshyökkäyksiltä.

Huomautus: Tämän blogiartikkelin on kirjoittanut vieraileva kirjoittaja, jonka tarkoituksena on tarjota lukijoillemme monipuolisempaa sisältöä. Tässä vierailevan kirjoittajan artikkelissa esitetyt mielipiteet ovat yksinomaan kirjoittajan omia eivätkä välttämättä vastaa GlobalSignin mielipiteitä.

Jätä kommentti