A Georgiai Műszaki Főiskolán egy háromtagú kutatócsoport David Dagon vezetésével a nyílt DNS-szerverek működését vizsgálja. A Google netes keresőcég támogatásával végzett felmérésük szerint ezekből a szokatlanul működő névfeloldó kiszolgálókból - amelyek bárhonnan érkező, bármilyen szerver elérhetőségét érintő kérdésre hajlandóak számszerű IP-címmel válaszolni - mintegy 17 millió példány található a hálózaton.

A kutatók szerint ez a meglepően magas érték azt jelenti, hogy a nyílt, rekurzív működésű névkiszolgálók ma már egyfajta másodlagos irányító szervként funkcionálnak a húsz éve hagyományos, hierarchikus felépítésben működő DNS rendszer árnyékában - és ez bizalmi, biztonsági kockázatot jelent a net számára.

A nyílt névkiszolgálók túlnyomó része mégis korrektül működik és feltehetően csak a gondatlan konfigurálás miatt vált elérhetővé a nyilvános hálózaton - egy kis csoport, nagyjából minden ötvenedik viszont kétséges érvényességű vagy kifejezetten helytelen válaszokat ad. A bizonyíthatóan kártékony, rosszindulatú DNS-szerver példányok részesedése a teljes populációban mindössze 0,4%-ot tesz ki, számszerűsítve azonban ez is 68 ezer darab, a netes bűnözők kezén lévő útbaigazító szervert jelent.

A hamis válaszokat adó "nyitott rekurzív" névkiszolgálók segítségével a hackerek, az elektronikus csalók és a kéretlen reklámok terjesztői tévútra terelhetik azokat a felhasználókat, akik banki, pénzügyi szolgáltatásokat kívánnak igénybe venni, vagy egyszerűen csak böngésznének a neten - ez önmagában nem lenne újdonság, de a fejlett módszerek alkalmazása nagyban megnöveli a támadók lehetőségeit.

A korábbiaknál többet tud az új ármány

Általánosságban véve a Windows gépek DNS-használatát aláaknázó támadások régóta jelen vannak a világhálón - az első ilyen fenyegetések körülbelül négy évvel ezelőtt jelentek meg. A vírusok eredetileg olyan módon manipulálták a névfeloldás menetét, hogy a fertőzött gépeken módosították a "hosts" fájl tartalmát, amely a legfontosabb hálózati helyek fix domén név - IP cím adatpárjait tartalmazza.

Mivel egy lista nem lehet tetszőlegesen hosszú, a programkártevők ezt a módszert többnyire negatív értelemben használták: a 127.0.0.1 helyi cím megfeleltetésével a semmibe irányították számos IT-biztonsági cég - pl. Microsoft, Mcafee, Symantec - doménjei felé irányuló hálózati kapcsolódási kísérleteket, tovább nehezítve ezzel a fertőzött gép megtisztítását.

A modern web alapú DNS-csalás, amelynek széleskörű műszaki feltételei csak az utóbbi időben teremtődtek meg, ennél lényegesen többre hivatott. A nyílt, rekurzív szervereket uraló hackerek megtehetik, hogy a lekérdezések nagy részére korrekt feloldást adnak és a felhasználót csak alkalmanként vezetik félre.

A legkézenfekvőbb alkalom erre az, amikor a számítógép banki vagy pénzügyi témájú portálhoz próbál meg kapcsolódni. Az ügyfél ekkor egy, a valódira megszólalásig hasonló ún. adathalász (phishing) webhelyen találhatja magát - sőt elképzelhető, hogy ez esetben még a joggal várt riasztás is elmarad, mert az ilyen alacsony szintű változtatást az egyszerűbb anti-phishing szoftverek nem képesek detektálni.