GlobalSign Blog

Cunoscut și sub numele de DNS spoofing, otrăvirea cache-ului DNS este un atac conceput pentru a localiza și apoi a exploata vulnerabilitățile care există într-un DNS, sau sistem de nume de domeniu, pentru a atrage traficul organic de la un server legitim la unul fals.

Amenințarea de otrăvire a cache-ului DNS a ajuns la știri la începutul acestui an, în aprilie, când serverele DNS ale gigantului crypto MyEtherWallet au fost deturnate și au redirecționat utilizatorii legitimi către un site de phishing.

Ca urmare a otrăvirii cache-ului, mai mulți utilizatori au fost păcăliți să renunțe la cheile portofelului lor înainte de a-și transfera criptomonedele într-un alt portofel digital asociat cu hackerii. În total, hackerii au furat Ethereum în valoare de aproximativ o sută șaizeci de mii de dolari înainte ca problema să fie identificată și oprită.

Acesta este doar un exemplu care ilustrează cât de periculoasă poate fi otrăvirea cache-ului DNS. Un alt motiv pentru care acest tip de atac este periculos este faptul că se poate răspândi cu ușurință de la un server DNS la altul.

În acest articol, vom aborda subiectul modului în care funcționează otrăvirea cache-ului DNS și apoi câteva soluții pe care le puteți aplica pentru a-l opri dacă vi se întâmplă vreodată.

De fiecare dată când browserul dumneavoastră contactează un nume de domeniu, trebuie să contacteze mai întâi serverul DNS.
Serverele de nume de domeniu (DNS) sunt echivalentul internetului unei cărți de telefon. Ei mențin un director de nume de domenii și le traduc în adrese IP (Internet Protocol).

Acest lucru este necesar deoarece, deși numele de domenii sunt ușor de reținut de către oameni, computerele sau mașinile, accesează site-urile web pe baza adreselor IP.

Serverele vor răspunde apoi cu cel puțin o adresă IP (dar de obicei mai multe) pentru ca computerul dumneavoastră să ajungă la numele de domeniu. Odată ce computerul dvs. se conectează la adresa IP, DNS-ul convertește numele de domeniu într-o adresă IP pe care computerul dvs. o poate citi.

În acest moment, furnizorul dvs. de servicii de internet rulează mai multe servere DNS, fiecare dintre acestea având în cache (sau salvând) informații și de la alte servere. Routerul Wi-Fi pe care îl aveți în casă acționează, în esență, ca un server DNS, de asemenea, deoarece stochează informații de la serverele ISP-ului dumneavoastră.

Un cache DNS este „otrăvit” atunci când serverul primește o intrare incorectă. Pentru a pune acest lucru în perspectivă, se poate întâmpla atunci când un hacker preia controlul asupra unui server DNS și apoi modifică informațiile din acesta.

De exemplu, acesta poate modifica informațiile astfel încât serverul DNS să le spună utilizatorilor să caute un anumit site web cu o adresă greșită. Cu alte cuvinte, utilizatorul ar introduce numele „corect” al site-ului web, dar apoi ar fi trimis la o adresă IP greșită și, mai exact, la un site web de phishing.

Mai devreme, am menționat că unul dintre motivele pentru care otrăvirea cache-ului DNS este periculoasă se datorează rapidității cu care se poate răspândi de la un server DNS la altul. Acest lucru se realizează dacă și atunci când mai mulți furnizori de servicii de internet primesc informațiile DNS de la serverul controlat acum de hackeri, ceea ce face ca intrarea DNS „otrăvită” să se răspândească la acei furnizori de servicii de internet pentru a fi memorată în memoria cache.

Din acel moment, se poate răspândi la alte servere DNS și la routere de acasă, precum și la calculatoare care vor căuta intrarea DNS doar pentru a primi un răspuns greșit, ceea ce face ca tot mai multe persoane să devină victime ale otrăvirii. Numai după ce memoria cache otrăvită a fost curățată pe fiecare server DNS afectat, problema va fi rezolvată.

Cum să vă protejați împotriva otrăvirii cache-ului DNS

Unul dintre aspectele dificile ale otrăvirii cache-ului DNS este că va fi extrem de dificil de determinat dacă răspunsurile DNS pe care le primiți sunt legitime sau nu. În cazul My Ethereum Wallet, aceștia au avut mijloace foarte limitate pentru a preveni apariția situației, iar problema a fost rezolvată în cele din urmă de către furnizorii lor de servere.

Din fericire, există încă o serie de măsuri pe care organizația dvs. le poate lua pentru a preveni ca un astfel de atac să vi se întâmple, așa că nu ar trebui să aveți impresia că otrăvirea cache-ului DNS este imposibil sau aproape imposibil de prevenit.

De exemplu, un lucru pe care ar trebui să îl faceți este ca serverele dvs. DNS să fie configurate de un profesionist IT pentru a se baza foarte puțin pe relațiile cu alte servere DNS. Acest lucru face mult mai dificil pentru un infractor cibernetic să își folosească serverul DNS pentru a-și corupe țintele, ceea ce înseamnă că este mai puțin probabil ca propriul dvs. server DNS să fie corupt și, prin urmare, este mai puțin probabil ca dvs. (și toți cei din organizația dvs.) să fiți redirecționați către un site web incorect.

Puteți, de asemenea, să aveți serverele DNS configurate pentru a stoca numai date care sunt legate în mod specific de domeniul solicitat și pentru a limita răspunsurile la interogări pentru a furniza numai informații care se referă, de asemenea, la domeniul solicitat. Ideea este că serverul va fi configurat astfel încât serviciile solicitate să fie singurele cărora li se permite să ruleze. Având servicii suplimentare care nu sunt necesare pentru a rula pe serverul DNS, creșteți foarte mult șansele ca un atac să aibă loc.

De asemenea, trebuie să vă asigurați că este utilizată cea mai recentă versiune a DNS. Acest lucru se datorează faptului că cele mai recente versiuni vor utiliza caracteristici de securitate, cum ar fi randomizarea porturilor și ID-urile de tranzacție care sunt sigure din punct de vedere criptografic pentru a ajuta la protejarea împotriva atacurilor de otrăvire.

O altă apărare importantă împotriva otrăvirii cache-ului DNS, așa cum MyEtherWallet a sfătuit într-un anunț în urma atacului care a avut loc în aprilie 2018, este să căutați numele companiei în bara de adrese (deci, în cazul lor, „MyEtherWallet Inc.”).
Aceasta înseamnă că site-ul utilizează un certificat EV SSL/TLS. Acest lucru ar preveni ca oamenii să devină victimele unui atac de otrăvire, deoarece aceștia s-ar asigura că nu își introduc datele personale pe site-ul unui hacker. Nu toate companiile folosesc EV pe site-urile lor, așa că aceasta nu este o măsură infailibilă, dar poate fi un instrument util atunci când încercați să determinați dacă vă aflați pe site-ul potrivit.

Un certificat SSL/TLS este pur și simplu un mic fișier de date instalat pe un server web care poate lega detaliile organizației dvs. de o cheie criptografică. După ce a fost instalat, certificatul va activa protocolul HTTPS pentru a permite o conexiune sigură și criptată între un browser și serverul dvs. web. În cazul certificatelor EV SSL/TLS, unele dintre aceste detalii ale organizației, inclusiv numele companiei, așa cum s-a menționat mai sus, vor fi prezentate direct în interfața de navigare.

Concluzie

În rezumat, otrăvirea cache-ului DNS are loc atunci când un atacator exploatează un server DNS pentru a trimite un răspuns DNS falsificat care va fi pus în cache de către serverele legitime.

Subiectiv, utilizatorii care vizitează domeniul corupt vor fi trimiși la o nouă adresă IP pe care hackerul a selectat-o, care este, de obicei, un site web de phishing malițios, unde victimele pot fi manipulate să descarce programe malware sau să trimită detalii de autentificare sau financiare.

Să urmați pașii de mai sus vă va ajuta să vă apărați organizația împotriva atacurilor de otrăvire a cache-ului DNS.

Nota: Acest articol de blog a fost scris de un colaborator invitat cu scopul de a oferi o varietate mai mare de conținut pentru cititorii noștri. Opiniile exprimate în acest articol al autorului invitat sunt exclusiv cele ale colaboratorului și nu le reflectă neapărat pe cele ale GlobalSign.

.

Lasă un comentariu