Hírcsatornák
Kinyomtatom
Elküldöm
Egy egyelőre „azonosítatlan hálózati esemény” miatt sorra omlanak össze a DNS-szerverek. A jelek szerint valakik tudatosan támadják a rendszereket, és kihasználják a DNS (Domain Name Service) sérülékenységét. A hiba érinti a BIND összes támogatott verzióját - azaz jóformán a teljes interneten jelentkezhet.
Sorra omlanak össze a BIND 9 DNS szerverek - azaz a teljes internetet bénulás fenyegetheti, mert a legtöbb DNS-szerver az interneten BIND DNS szoftverrel működik. A támadók a "nulladik napi" sebezhetőséget használják ki, azaz amit még nem publikáltak, vagy a szoftver fejlesztője nem is tud róla, illetve nem érhető még el a biztonsági javítása. A BIND a névszolgáltatásért felelős szolgáltatás, a szó maga a Berkeley Internet Name Domain rövidítése. Az Internet Systems Consortium 2010-ben vette át a BIND-et.
| A DNS (Domain Name Service) |
| A begépelt weboldalcímet a DNS-rendszer azonosítja, és az IP-cím alapján besorolja, melyik szerver működteti a keresett oldalt. A DNS olyan, mint egy telefonköny, mely a felhasználóbarát webcímekhez - pl. hvg.hu - a rendszer számára értelmezhető IP-címet rendel. |
Az Internet Systems Consortium (ISC), melyet a Sophos bloggere idéz, így foglalja össze a problémát: egy még azonosítatlan hálózati esemény okozza, hogy a BIND 9 a hibás adatot is eltárolja, és a legközelebbi lekérdezéskor összeomlik a szerver.
A probléma okát még vizsgálják, de az ISC kiadott egy sor ideiglenes javítást, amely megakadályozza a kiszolgálók összeomlását.
Egyelőre nincs ismert megoldás a jelenségre, azt javasolják, a BIND-felhasználók frissítsék a rendszert.
Mint Béres Péter, a Sicontact Kft. (az ESET Antivirus magyarországi disztribútora) vezető IT-tanácsadója elmondta, a megoldás a DNSSEC. Ez egy olyan szabvány, ahol a szerverek digitálisan aláírt csomagokkal kommunikálnak. Titkosítás nincs, így senki nem tudja behazudni azt, hogy egy névhez milyen hamis IP-cím tartozik.
A DNSSEC használatáról nincs pontos számadat, de mivel elég problémás az átállás, egyelőre nem sok helyen használják – ennek következtében komoly gondok származhatnak ebből a sebezhetőségből. A root, azaz legmagasabb szintű DNS szerverek egész biztosan használják már a DNSSEC-et, ami azt jelenti, hogy pl. egy teljes .hu-s domaint nem fognak tudni „lelőni”. Reménykedik mindenki, azon dolgoznak, hogy minél hamarabb kijavítsák a hibát - és ne legyen belőle nagyobb leállás.
A Computerworld szeptember elején írt arról, hogy hamarosan súlyos, nem kizárt, hogy katasztrofális hatásokkal járó bénulás várható a kibertérben.
Kinyomtatom
Elküldöm
