Nimipalvelimet päivitykseen

[Miguel]

Iso ja vaarallinen aukko löytyi maailman nimipalvelutoteutuksista

Tietoturvatutkija Dan Kaminsky on löytänyt tehokkaan hyökkäysmenetelmän ip-verkoissa käytettävän DNS-nimipalveluun vaikuttamiseen, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.


Haavoittuvat nimipalvelutoteutukset ovat alttiita tehokkaalle DNS cache poisoning -hyökkäykselle, jossa hyökkääjä pystyy syöttämään vääriä tietoja nimipalvelimen tai nimipalveluasiakasohjelmiston välimuistiin. Hyökkäyksen avulla hyökkääjä voi ohjata haavoittuvassa nimipalvelimessa tai asiakasohjelmistossa tietyn domainnimen osoittamaan haluamaansa Iip-osoitteeseen.

CERT-FI:n mukaan hyökkäysmenetelmää ei ole vielä julkistettu. Julkistus on odotettavissa todennäköisesti kuukauden sisällä. Useat eri ohjelmisto- ja laitevalmistajat ovat julkaisseet tai julkaisemassa päivityksiä nimipalveluohjelmistoihinsa.

CERT-FI kertoo, että haavoittuvat ohjelmistot ovat BIND 8, BIND 9 ennen korjauksia 9.5.0-P1, 9.4.2-P1, 9.3.5-P1, Windows 2000, XP ja Server 2003 -käyttöjärjestelmät ilman korjausta MS08-037, Cisco IOS:n useat versiot ja GNU libc stub resolver. Lisäksi listalla ovat palomuurit, jotka käyttävät ScreenOS -ohjelmistoa, sekä JunOS-ohjelmistolla varustetut reitittimet ja kytkimet, joiden ohjelmiston päiväys on ennen 23.5.2008

Saa nähdä syntyykö tästä kaikkien kusimuttereiden äiti. :thumbfh:

Siitä vaan kirjoittamaan oman tietokoneen host-fileen oman pankin ip-osoite, niin eipä ainakaan oma pankkiyhteys ole vaarassa. Tietty tämä kannattaa tehdä ennenkuin oman yhteyden nimipalvelin on saastunut.

Huvitti uusisuomi.fi sivuston linkki, jossa kehotettiin testaamaan linkistä oman koneen haavoittuvuus. Harvalla koneella on toimiva julkinen nimipalvelin.

 

[Miguel]

Internetistä löytyi ohjelmointivirhe

[IDG 9.7.2008, 10:59]


Internet-ohjelmistojen valmistajat julkaisivat eilen tiistaina yhteisen päivityksen, joka korjaa internetin nimipalvelujärjestelmää eli domain name system -protokollaa. Ohjelmointivirhe internetin perusprotokollasta löytyi "täysin sattumalta". Löydön teki tietoturvayhtiö IOActiven tutkija Dan Kaminsky, joka on reititinvalmistaja Cisco Systemsin entinen työntekijä.
Haavoittuvuutta hyödyntämällä verkkohyökkääjä voi ohjata käyttäjän verkkosivuilta uudelleen vaarallisille web-sivuille ilman, että uhri tätä huomaa. Niin sanottu dns-myrkytys ei kosketa ainoastaan verkkosivujen liikennettä. Sitä voidaan käyttää kaikkeen internetissä liikkuvan liikenteen uudelleenohjaamiseen.

"Se on kuin web-kalastelu ilman sähköpostin lähetystä", vertasi tietoturvayhtiö Qualysin teknologiajohtaja Wolfgang Kandek.

Kandekin mukaan virhe koskettaa pääosin yrityksiä ja internet-yhteyksien tarjoajia, jotka ylläpitävät verkkoa reitittäviä dns-palvelimia.

"Kotikäyttäjien ei tarvitse panikoida", Kandek sanoi puhelinkonferensissa tiistaina.

"Meillä on ongelma"

Kaminsky löysi virheen useita kuukausia sitten. Hän kokosi välittömästi yhteen 16 tietoturva-asiantuntijaa, jotka kokoontuivat maaliskuun lopussa ohjelmistojätti Microsoftin tiloissa.

"Otin yhteyttä kavereihin ja sanoin 'Meillä on ongelma'", Kaminsky kertoi maaliskuun tapahtumista.

Ongelma ratkaistiin eilen, kun käytetyimpien dns-ohjelmistojen valmistajat julkaisivat päivityksen ohjelmistoihin. Microsoft, Cisco, Red Hat, Sun Microsystems ja Internet Software Consortium ovat kaikki päivittäneet ohjelmistonsa virheen korjaamiseksi.

Toivottavasti operaattorit älyävät olla ajan tasalla päivitysrumbassa. Itte kattelin elisan julkista nimipalvelua, niin ainakin se vaikutti testisivun perusteella vielä haavoittuvalta.

Pikkuinen asiavirhe on artikkelissa, sillä (julkiset) nimipalvelimet aika harvoin toimivat reitittimenä. Jos tällä viitavaan pelkästään reitittimiin, niin ne hakevat kaiken tiedon julkisista nimipalvelimista.

Testisivu:

http://www.doxpara.com/

 

[Miguel]

Ficoran virallinen tiedote asiasta.

http://www.cert.fi/tietoturvanyt/2008/07/ttn200807082331.html

 

[Miguel]

Tutkija varoittaa riskistä

Kaminsky on nyt kertonut lisää tietoja turva-aukosta Black Hat -tietoturvatapahtumassa. Hänen mukaansa riski on selvästi pahempi kuin on arvioitu.

Web-sivujen vaihdon lisäksi dns-aukko mahdollistaa myös liudan muita hyökkäyksiä. Rikolliset voisivat aukon avulla päästä jopa salattujen ipsec-vpn- tai ssl-yhteyksien väliin. Turva-aukolla voisi myös huijata ohjelmistojen päivityspalveluja, roskapostisuodattimia, voip-nettipuheluja ja mahdollisesti jopa sähköpostilähetyksiä.

Cert-fi kehottaa kaikkia dns-palvelujen ylläpitäjiä päivittämään heti dns-ohjelmistonsa uusiin versioihin.

Tietokone.fi

Saas nähdä milloin julkisuuteen tulee uudet murrot. Ipsec-vpn murtojen tekeminen tuntuu aika hurjalta. Vaikka tunnelin pään saisikin ohjattua väärään paikkaan, tunnelin muodostaminen tuntuu vielä melko kovalta työltä jos vain salaukset ovat hyvin tehty.

Joka tapauksessa melko paha uhka. :nope: