Sebezhet� a DNS szerverek nagy r�sze

Amerikai adatok szerint az internetes domain nevek visszafejt�s�t v�gz�, hiteles DNS szerverek h�romnegyede sebezhet� k�ls� t�mad�ssal szemben, legt�bbsz�r a sz�ks�ges int�zked�sek hi�nya miatt. A h�l�zati infrastrukt�ra fejleszt�s�re szakosodott amerikai Measurement Factory mintegy 7,5 milli�ra becs�li a k�ls� DNS szerverek sz�m�t. Ebb�l k�r�lbel�l 1,3 milli�t vontak be leg�jabb felm�r�s�kbe, amely a szerverek biztons�g�t volt hivatott felt�rk�pezni. A v�geredm�ny meglep�, �s egyben les�jt� volt: a megvizsg�lt szerverek 75 sz�zal�ka, azaz h�romnegyede bizonyult sebezhet�nek, amit t�bb okkal magyar�ztak. A c�g f�leg z�na �tviteli �s egy�b k�relmek r�v�n hajtotta v�gre vizsg�lat�t. A megvizsg�lt szerverek csaknem fele tetsz�leges k�relmet v�grehajtott, �s nem kiz�r�lag megb�zhat� �gyfelek sz�m�ra. Egy r�sz�k r�ad�sul az �ltal�nosan elterjedt BIND szoftver r�gebbi verzi�j�t haszn�lta, ami szint�n t�madhat�. Enn�l is nagyobb probl�ma viszont, hogy legnagyobb r�sz�k - 75 sz�zal�kuk - b�rki sz�m�ra felk�n�lta a "recursive name" szolg�ltat�st, amikor a saj�t t�r�ban nem tal�lhat� DNS neveket egy�b szerverek lek�rdez�s�vel igyekszik visszafejteni. Szak�rt�k szerint ezt a szolg�ltat�st csak korl�tozott sz�m�, megb�zhat� kliens sz�m�ra lenne szabad enged�lyezni, mivel megnyitja az utat a t�rolt adatok k�v�lr�l t�rt�n� m�dos�t�sa, illetve a DoS-t�mad�sok fel�. A DNS szerverek sebezhet�s�ge egy�ltal�n nem �j felfedez�s. T�bb szakember m�r �vek �ta hangs�lyozza a biztons�g fokoz�s�nak jelent�s�g�t, eddig kev�s sikerrel. Az F-Secure az els� f�l�vet vizsg�l� j�liusi jelent�s�ben lesz�gezte, hogy id�n tov�bb n�vekedett az ilyen jelleg� t�mad�sok, f�leg az elt�r�t�ses adatlop�sok sz�ma. Ez m�s n�ven a "pharming", vagyis a webhely nev�nek megszerz�se, �s forgalm�nak �tir�ny�t�sa egy m�sik weboldalra. Ha a forgalmat fogad� weboldal hamis�tv�ny, p�ld�ul egy bank weboldal�nak m�solata, akkor felhaszn�lhat� adathal�szatra, azaz egy felhaszn�l� jelszav�nak, PIN-k�dj�nak, sz�mlasz�m�nak vagy egy�b szem�lyes adat�nak ellop�s�ra. A t�mad�k a z�na �tviteli k�relmek seg�ts�g�vel meg�llap�thatj�k a DNS szerverek k�z�tti kapcsolatokat, �s m�dos�thatj�k a t�rolt adatokat, saj�t, fert�z�tt oldalaikra ir�ny�tva a felhaszn�l�t. Ezt megk�nny�theti a szerver �ltal haszn�lt szoftver elavults�ga, amely nem ny�jt kell� v�detts�get az ilyen jelleg� akci�k ellen. B�r a Measurement Factory �ltal megvizsg�lt 1,3 milli� szerver 57 sz�zal�ka a BIND leg�jabb, 9.x verzi�j�t haszn�lja, egy�t�d�k r�gebbi v�ltozatokkal k�nytelen be�rni. Megold�sk�nt szoftverfriss�t�st, a rekurz�v k�relmek tilt�s�t, a forgalom sz�r�s�t, valamint egy�b �vint�zked�s�ket javasolnak.