Zatrucie DNS a wyciek z serwerów Google i Yahoo

hacking

Ostatnio zrobiło się głośno o atakach na popularnych dostawców poczty elektronicznej takich jak Google czy Yahoo. Jak dotąd nie do końca wiadomo było w jaki sposób doszło do wycieku danych do logowania na konta e-mail. Całą sprawą postanowił zająć się zespół do reagowania na wszelkie zdarzenia, które naruszają bezpieczeństwo w Internecie, czyli CERT, a konkretniej – specjaliści z Uniwersytetu Carnegie Mellon. Jak udało im się początkowo odkryć, hakerzy mogli wstrzykiwać niepoprawne adresy IP serwerów e-mail do pamięci podręcznej serwerów DNS. Dalsze badania wymagają jednak pomocy ze strony innych użytkowników Internetu.

Taki atak na serwery DNS nie jest nowością w wirtualnym świecie i był wykorzystany już nie raz. Po wstrzyknięciu zapytany o adres IP konkretnej domeny serwer DNS, udzielając odpowiedzi, korzysta z uprzednio otrzymanych danych (czyli nie sprawdza ich poprawności i aktualności). Dane te znajdują się we wspomnianej wcześniej pamięci podręcznej. Wysłanie i podmiana adresu na inny umożliwia przejęcie ruchu innego użytkownika. Dobra wiadomość jest taka, że tzw. „cache poisoning”, czyli zatrucie pamięci podręcznej spotykane jest bardzo rzadko, gdyż z każdym dniem rośnie wiedza na temat jak sobie z tym radzić. Problem ten jest także monitorowany przez zespół badaczy CERT, który wysyłał do serwerów DNS zapytania i sprawdzał otrzymywane odpowiedzi pod kątem zgodności. W trakcie analiz zespół wykrył coś, co powinno zaniepokoić użytkowników Internetu, a o czym już słyszeliśmy jakiś czas temu. Chodzi właśnie o zatrucie dużych serwerów pocztowych jak Yahoo czy Google. W ten sposób hakerzy przejmowali ruch pocztowy użytkowników poczty e-mail – podmieniając adres IP w pamięci podręcznej DNS tych użytkowników na swój. Po przejęciu ruchu wszystko wracało do normy i użytkownik nie orientował się o przejęciu.

Rozpoznano w ten sposób fakt przeprowadzenia ataku, jednak nie sam sposób wstrzykiwania adresu IP do pamięci podręcznej serwerów DNS. Nie udało się również na obecną chwilę odkryć kto dokonuje takich ataków. Jak dotąd w Internecie ukazała się jedynie lista adresów IP, z których były przeprowadzane ataki, a nie lista serwerów DNS, które były celem ataku.

Tagi: , ,

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *