DNS безбедност – морске корњаче и витез Која

Проверавање DNS конфигурације регистранту назива домена треба да буде део безбедносне рутине. Закључавање назива домена и DNSSEC су основни механизми заштите од напада који користе рањивости DNS-а.

 

Корњаче пливају и у топлим и у хладним морима. И док сте на плажи лако може нека да исплива и потопи брод који сте нехајно оставили без капетана у мирној ували. Неухватљива морска корњача, хакерска група See Turtle, након начињене штете током касне јесени и зиме, отпочела је и летњу кампању у првој половини јула, а током последње две године кад исплива из дубина сајбер криминала „гpизе“ прилично болно.

Овој хакерској групи приписују бар 40 великих напада у више од 13 земаља. На мети су се до сада нашле владе, невладине организације са глобалним утицајем, енергетске компаније, институти... у неким извештајима се помиње и компромитовање података аеродрома, али и компанија која управља интернет саобраћајем.

See Turtle хакерска група специфична је по томе што јој је фокус DNS, односно мењање DNS конфигурације компанија жртава. На тај начин пресрећу комуникацију и прикупљају податке корисника услуга хакованих веб-локација. Међу њеним последњим жртвама нашао се грчки регистар националног домена (ICS-Forth), а до упада је дошло захваљујући мањкавости у безбедносним мерама једног од њихових овлашћених регистара.

До сада су активности ове групе примећене на Блиском истоку и у Сједињеним државама. На европском тлу, поред напада на шведски НетНод , који управља DNS и интернет инфраструктуром за размену саобраћаја, и грчки регистар, недавно је и швајцарски регистар SWITCH пријавио да су компромитовани DNS подаци појединих .ch назива домена и позвао регистранте на опрез.

РНИДС је такође приметио повећану активност око DNS сервера. Топла препорука свим регистрантима .RS назива домена је да периодично проверавају DNS конфигурацију и да им то постане део рутине.

Експерти Cisco Telos групе идентификовали су основни начин рада See Turtle хакера. Хакери промене DNS конфигурацију и унесу податке о DNS серверу под њиховом контролом, дакле „отму“ власништво над називом домена. Када корисници покушају да стигну до хаковане веб дестинације хакерски DNS сервер преусмерава саобраћај на man-in-the-middle сервер који „жање“ податке (адресе е-поште, параметере за логовање и сл.) и комуникацију корисника, а саобраћај затим шаље на тражену дестинацију. У међувремену краду и легалне SSL сертификате жртве и са сертификованих назива домена настављају „жетелачки“ подухват. Обично „раставе“ овај систем после неколико дана, па жртве често нису ни свесне шта се догодило посебно што се напад одвија вам мреже саме компаније жртве.

Aли у причи постоји и витез Која, добри оклопник који штити називе домена и држи морске корњаче на дистанци. Експерти препоручују неколико основних механизама заштите: мулти-факторску аутентификацију, закључавање назива домена (најбоље Registry Lock) и DNSSEC.

За разлику од великог број светских регистара који нуде по један начин закључавања назива домена, РНИДС својим регистрантима омогућава да на чак три начина закључају свој назив .RS или .СРБ домена. Две врсте заштите - Сигуран режим (Secure Mode) и Закључавање на страни клијента (Client Side Lock) РНИДС не наплаћује, а један је од ретких регистара који омогућава и Закључавање на страни регистра (Registry Lock), највиши ниво заштите назива домена.

DNSSEC је такође важан оклоп у борби против man-in-the-middle напада. Шта DNSSEC заправо ради? Обезбеђује да корисник који тражи одређени назив домена добије аутентичан одговор. Дакле, DNS подаци су „потписани“, па корисник неће бити преусмерен на „подметнуту“ IP адресу. За DNSSEC експерти пишу да има једну велику ману – недовољно се користи. DNSSEC је услуга коју ће РНИДС учинити доступном од јесени, чиме ће регистранти добити још једну опцију за заштиту својих назива .RS и .СРБ домена.