DNS безбедност – морске корњаче и витез Која

Проверавање DNS конфигурације регистранту назива домена треба да буде део безбедносне рутине. Закључавање назива домена и DNSSEC су основни механизми заштите од напада који користе рањивости DNS-а.

 

Корњаче пливају и у топлим и у хладним морима. И док сте на плажи лако може нека да исплива и потопи брод који сте нехајно оставили без капетана у мирној ували. Неухватљива морска корњача, хакерска група See Turtle, након начињене штете током касне јесени и зиме, отпочела је и летњу кампању у првој половини јула, а током последње две године кад исплива из дубина сајбер криминала „гpизе“ прилично болно.

Овој хакерској групи приписују бар 40 великих напада у више од 13 земаља. На мети су се до сада нашле владе, невладине организације са глобалним утицајем, енергетске компаније, институти... у неким извештајима се помиње и компромитовање података аеродрома, али и компанија која управља интернет саобраћајем.

See Turtle хакерска група специфична је по томе што јој је фокус DNS, односно лажирање DNS одговора за називе домене жртава. На тај начин преусмеравају комуникацију на сервере које они контролишу и прикупљају податке корисника услуга хакованих веб-локација. Међу њеним последњим жртвама нашао се грчки регистар националног домена (ICS-Forth), а до упада је дошло захваљујући мањкавости у безбедносним мерама једног од њихових овлашћених регистара.

До сада су активности ове групе примећене на Блиском истоку, Африци и у Сједињеним државама. На европском тлу, поред напада на шведски НетНод , који управља DNS и интернет инфраструктуром за размену саобраћаја, и грчки регистар, недавно је и швајцарски регистар SWITCH пријавио да су компромитовани DNS подаци појединих .ch назива домена и позвао регистранте на опрез.

РНИДС је такође приметио повећану злонамерну активност око DNS сервера. Топла препорука свим регистрантима .RS назива домена је да редовно проверавају DNS конфигурацију и да им то постане део рутине.

Експерти Cisco Telos групе идентификовали су основни начин рада See Turtle хакера. Хакери промене садржај DNS базе и унесу податке о DNS серверу под њиховом контролом, дакле „отму“ контролу над називом домена. Када корисници покушају да стигну до хаковане веб дестинације хакерски DNS сервер преусмерава саобраћај на локацију који они контролишу и на којој „жању“ податке (личне податке, параметере за логовање, пословне информације и сл.), а саобраћај затим шаље на тражену дестинацију. У међувремену обезбеде и легалне SSL сертификате жртве и са наизглед безбедних назива домена настављају „жетелачки“ подухват. Обично „раставе“ овај систем после неколико дана, па жртве често нису ни свесне шта се догодило посебно што се напад одвија вам мреже саме компаније жртве.

Aли у причи постоји и витез Која, добри оклопник који штити називе домена и држи морске корњаче на дистанци. Експерти препоручују неколико основних механизама заштите: мулти-факторску аутентификацију на порталима овлашћених регистара, закључавање назива домена (најбоље Registry Lock) и DNSSEC.

За разлику од великог број светских регистара који нуде по један начин закључавања назива домена, РНИДС својим регистрантима омогућава да на чак три начина заштите свој назив .RS или .СРБ домена. Две врсте заштите - Сигуран режим (Secure Mode) и Закључавање на страни клијента (Client Side Lock) РНИДС не наплаћује, а омогућава и Закључавање на страни регистра (Registry Lock), највиши ниво заштите назива домена.

DNSSEC је такође важан оклоп у борби против man-in-the-middle напада. Шта DNSSEC заправо ради? Обезбеђује да корисник који тражи одређени назив домена добије аутентичан одговор. Дакле, DNS подаци су „потписани“, па корисник неће бити преусмерен на „подметнуту“ IP адресу. За DNSSEC експерти пишу да има једну велику ману – недовољно се користи. DNSSEC је услуга коју ће РНИДС учинити доступном од јесени, чиме ће регистранти добити још једну опцију за заштиту својих назива .RS и .СРБ домена.