China Netcom Falls ofiary dla DNS Cache Poisoning

Jeden z największych chińskich dostawców usług internetowych (dostawcy usług internetowych) padł ofiarą niebezpiecznej luki w systemie adresowania w Internecie, według firmy Websense zajmującej się bezpieczeństwem.

Usterka, która została opisana jako jedna z najpoważniejszych, jakie kiedykolwiek miały wpływ Internet, może spowodować przekierowanie internautów do fałszywych stron internetowych, nawet jeśli adres URL (Uniform Resource Locator) został poprawnie wpisany w pasku adresu przeglądarki.

Odkryty przez badacza bezpieczeństwa Dana Kaminsky'ego, problem jest zakorzeniony w DNS (System nazw domen). Kiedy użytkownik wpisze adres sieciowy w przeglądarce, żądanie trafi do serwera DNS lub do pamięci podręcznej, która zwraca odpowiedni numeryczny adres IP (protokół internetowy) dla witryny sieci Web.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twój komputer z systemem Windows]

Ale błąd pozwala na wypełnienie serwera DNS błędnymi informacjami i skierowanie użytkowników do złośliwych witryn sieci Web. Atak China Netcom jest szczególnie interesujący, ponieważ dotyczy tylko tych, którzy źle spisują określone adresy URL, powiedział Carl Leonard, kierownik ds. Badań nad bezpieczeństwem w europejskim laboratorium Websense.

Najnowsze hackowanie zostało odkryte przez laboratorium Websense w Pekinie, którego niektórzy badacze używają China Netcom jako ich ISP, powiedział Leonard. Websense widział inne ataki DNS, ale zdecydował się na opublikowanie tego konkretnego ze względu na jego interesujące wykonanie, powiedział.

Hakerzy zmienili jeden z serwerów DNS China Netcom, aby przekierowywali tylko użytkowników, którzy wpisują na przykład gogle.cn niż google.cn. W ten sposób mniej użytkowników jest kierowanych na złośliwe witryny sieci Web, ale strategia polega na utrzymaniu niższego profilu ataków, aby nie zwracać na nie uwagi.

"Twórcy szkodliwych kodów starają się trzymać pod radarem" - powiedział Leonard.

Ofiary są przekierowywane na złośliwe strony internetowe - niektóre z nich są nadal aktywne - które próbują wykorzystać znane luki w oprogramowaniu, takie jak odtwarzacz multimedialny RealPlayer RealPlayer i odtwarzacz Flash Player firmy Adobe.

Inny exploit próbuje wykorzystać problem z formantem ActiveX dla przeglądarki Snapshot Viewer firmy Microsoft, używany do wyświetlania raportów dla programu Microsoft Access, programu relacyjnej bazy danych

Chociaż Adobe, Microsoft i RealPlayer wydały łaty na niektóre z tych luk, hakerzy nadal dostrzegają możliwości. "Mówi nam, że ludzie nie zastosowali tych poprawek" - powiedział Leonard.

Jeśli exploit się powiedzie, komputer ściągnie program trojański, który wyłączy aktualizacje oprogramowania antywirusowego, powiedział Leonard. Websense powiadomił China Netcom, ale nie są jeszcze pewni, czy serwer DNS został załatany.

Kaminsky i inni naukowcy koordynowali masową tajną kampanię z dostawcami, aby załatać swoje oprogramowanie DNS, ale szczegóły dotyczące sposobu wykorzystania tej luki wyciekły 21 lipca. Jednak nie wszyscy dostawcy usług internetowych mają już poprawki, narażając niektórych użytkowników na ryzyko. Ponadto, dostępne łaty tylko zmniejszają prawdopodobieństwo sukcesu ataku, a nie zabezpieczają całkowicie serwera DNS przed atakiem, powiedział Leonard.

"Musi być dostępne rozwiązanie długoterminowe" - powiedział Leonard.