DNS bezbednost – morske kornjače i vitez Koja

Proveravanje DNS konfiguracije registrantu naziva domena treba da bude deo bezbednosne rutine. Zaključavanje naziva domena i DNSSEC su osnovni mehanizmi zaštite od napada koji koriste ranjivosti DNS-a.

 

Kornjače plivaju i u toplim i u hladnim morima. I dok ste na plaži lako može neka da ispliva i potopi brod koji ste nehajno ostavili bez kapetana u mirnoj uvali. Neuhvatljiva morska kornjača, hakerska grupa Sea Turtle, nakon načinjene štete tokom kasne jeseni i zime, otpočela je i letnju kampanju u prvoj polovini jula, a tokom poslednje dve godine kad ispliva iz dubina sajber kriminala „gpize“ prilično bolno.

Ovoj hakerskoj grupi pripisuju bar 40 velikih napada u više od 13 zemalja. Na meti su se do sada našle vlade, nevladine organizacije sa globalnim uticajem, energetske kompanije, instituti... u nekim izveštajima se pominje i kompromitovanje podataka aerodroma, ali i kompanija koja upravlja internet saobraćajem.

Sea Turtle hakerska grupa specifična je po tome što joj je fokus DNS, odnosno lažiranje DNS odgovora za nazive domene žrtava. Na taj način preusmeravaju komunikaciju na servere koje oni kontrolišu i prikupljaju podatke korisnika usluga hakovanih veb-lokacija. Među njenim poslednjim žrtvama našao se grčki registar nacionalnog domena (ICS-Forth), a do upada je došlo zahvaljujući manjkavosti u bezbednosnim merama jednog od njihovih ovlašćenih registara.

Do sada su aktivnosti ove grupe primećene na Bliskom istoku, Africi i u Sjedinjenim državama. Na evropskom tlu, pored napada na švedski NetNod , koji upravlja DNS i internet infrastrukturom za razmenu saobraćaja, i grčki registar, nedavno je i švajcarski registar SWITCH prijavio da su kompromitovani DNS podaci pojedinih .ch naziva domena i pozvao registrante na oprez.

RNIDS je takođe primetio povećanu zlonamernu aktivnost oko DNS servera. Topla preporuka svim registrantima .RS naziva domena je da redovno proveravaju DNS konfiguraciju i da im to postane deo rutine.

Eksperti Cisco Telos grupe identifikovali su osnovni način rada Sea Turtle hakera. Hakeri promene sadržaj DNS baze i unesu podatke o DNS serveru pod njihovom kontrolom, dakle „otmu“ kontrolu nad nazivom domena. Kada korisnici pokušaju da stignu do hakovane veb destinacije hakerski DNS server preusmerava saobraćaj na lokaciju koji oni kontrolišu i na kojoj „žanju“ podatke (lične podatke, parametere za logovanje, poslovne informacije i sl.), a saobraćaj zatim šalje na traženu destinaciju. U međuvremenu obezbede i legalne SSL sertifikate žrtve i sa naizgled bezbednih naziva domena nastavljaju „žetelački“ poduhvat. Obično „rastave“ ovaj sistem posle nekoliko dana, pa žrtve često nisu ni svesne šta se dogodilo posebno što se napad odvija vam mreže same kompanije žrtve.

Ali u priči postoji i vitez Koja, dobri oklopnik koji štiti nazive domena i drži morske kornjače na distanci. Eksperti preporučuju nekoliko osnovnih mehanizama zaštite: multi-faktorsku autentifikaciju na portalima ovlašćenih registara, zaključavanje naziva domena (najbolje Registry Lock) i DNSSEC.

Za razliku od velikog broj svetskih registara koji nude po jedan način zaključavanja naziva domena, RNIDS svojim registrantima omogućava da na čak tri načina zaštite svoj naziv .RS ili .СРБ domena. Dve vrste zaštite - Siguran režim (Secure Mode) i Zaključavanje na strani klijenta (Client Side Lock) RNIDS ne naplaćuje, a omogućava i Zaključavanje na strani registra (Registry Lock), najviši nivo zaštite naziva domena.

DNSSEC je takođe važan oklop u borbi protiv man-in-the-middle napada. Šta DNSSEC zapravo radi? Obezbeđuje da korisnik koji traži određeni naziv domena dobije autentičan odgovor. Dakle, DNS podaci su „potpisani“, pa korisnik neće biti preusmeren na „podmetnutu“ IP adresu. Za DNSSEC eksperti pišu da ima jednu veliku manu – nedovoljno se koristi. DNSSEC je usluga koju će RNIDS učiniti dostupnom od jeseni, čime će registranti dobiti još jednu opciju za zaštitu svojih naziva .RS i .СРБ domena.