DNS bezbednost – morske kornjače i vitez Koja

Proveravanje DNS konfiguracije registrantu naziva domena treba da bude deo bezbednosne rutine. Zaključavanje naziva domena i DNSSEC su osnovni mehanizmi zaštite od napada koji koriste ranjivosti DNS-a.

 

Kornjače plivaju i u toplim i u hladnim morima. I dok ste na plaži lako može neka da ispliva i potopi brod koji ste nehajno ostavili bez kapetana u mirnoj uvali. Neuhvatljiva morska kornjača, hakerska grupa See Turtle, nakon načinjene štete tokom kasne jeseni i zime, otpočela je i letnju kampanju u prvoj polovini jula, a tokom poslednje dve godine kad ispliva iz dubina sajber kriminala „gpize“ prilično bolno.

Ovoj hakerskoj grupi pripisuju bar 40 velikih napada u više od 13 zemalja. Na meti su se do sada našle vlade, nevladine organizacije sa globalnim uticajem, energetske kompanije, instituti... u nekim izveštajima se pominje i kompromitovanje podataka aerodroma, ali i kompanija koja upravlja internet saobraćajem.

See Turtle hakerska grupa specifična je po tome što joj je fokus DNS, odnosno menjanje DNS konfiguracije kompanija žrtava. Na taj način presreću komunikaciju i prikupljaju podatke korisnika usluga hakovanih veb-lokacija. Među njenim poslednjim žrtvama našao se grčki registar nacionalnog domena (ICS-Forth), a do upada je došlo zahvaljujući manjkavosti u bezbednosnim merama jednog od njihovih ovlašćenih registara.

Do sada su aktivnosti ove grupe primećene na Bliskom istoku i u Sjedinjenim državama. Na evropskom tlu, pored napada na švedski NetNod , koji upravlja DNS i internet infrastrukturom za razmenu saobraćaja, i grčki registar, nedavno je i švajcarski registar SWITCH prijavio da su kompromitovani DNS podaci pojedinih .ch naziva domena i pozvao registrante na oprez.

RNIDS je takođe primetio povećanu aktivnost oko DNS servera. Topla preporuka svim registrantima .RS naziva domena je da periodično proveravaju DNS konfiguraciju i da im to postane deo rutine.

Eksperti Cisco Telos grupe identifikovali su osnovni način rada See Turtle hakera. Hakeri promene DNS konfiguraciju i unesu podatke o DNS serveru pod njihovom kontrolom, dakle „otmu“ vlasništvo nad nazivom domena. Kada korisnici pokušaju da stignu do hakovane veb destinacije hakerski DNS server preusmerava saobraćaj na man-in-the-middle server koji „žanje“ podatke (adrese e-pošte, parametere za logovanje i sl.) i komunikaciju korisnika, a saobraćaj zatim šalje na traženu destinaciju. U međuvremenu kradu i legalne SSL sertifikate žrtve i sa sertifikovanih naziva domena nastavljaju „žetelački“ poduhvat. Obično „rastave“ ovaj sistem posle nekoliko dana, pa žrtve često nisu ni svesne šta se dogodilo posebno što se napad odvija vam mreže same kompanije žrtve.

Ali u priči postoji i vitez Koja, dobri oklopnik koji štiti nazive domena i drži morske kornjače na distanci. Eksperti preporučuju nekoliko osnovnih mehanizama zaštite: multi-faktorsku autentifikaciju, zaključavanje naziva domena (najbolje Registry Lock) i DNSSEC.

Za razliku od velikog broj svetskih registara koji nude po jedan način zaključavanja naziva domena, RNIDS svojim registrantima omogućava da na čak tri načina zaključaju svoj naziv .RS ili .СРБ domena. Dve vrste zaštite - Siguran režim (Secure Mode) i Zaključavanje na strani klijenta (Client Side Lock) RNIDS ne naplaćuje, a jedan je od retkih registara koji omogućava i Zaključavanje na strani registra (Registry Lock), najviši nivo zaštite naziva domena.

DNSSEC je takođe važan oklop u borbi protiv man-in-the-middle napada. Šta DNSSEC zapravo radi? Obezbeđuje da korisnik koji traži određeni naziv domena dobije autentičan odgovor. Dakle, DNS podaci su „potpisani“, pa korisnik neće biti preusmeren na „podmetnutu“ IP adresu. Za DNSSEC eksperti pišu da ima jednu veliku manu – nedovoljno se koristi. DNSSEC je usluga koju će RNIDS učiniti dostupnom od jeseni, čime će registranti dobiti još jednu opciju za zaštitu svojih naziva .RS i .СРБ domena.