A Georgiai Műszaki Főiskolán egy háromtagú kutatócsoport David Dagon vezetésével a nyílt DNS-szerverek működését vizsgálja. A Google netes keresőcég támogatásával végzett felmérésük szerint ezekből a szokatlanul működő névfeloldó kiszolgálókból - amelyek bárhonnan érkező, bármilyen szerver elérhetőségét érintő kérdésre hajlandóak számszerű IP-címmel válaszolni - mintegy 17 millió példány található a hálózaton.

A kutatók szerint ez a meglepően magas érték azt jelenti, hogy a nyílt, rekurzív működésű névkiszolgálók ma már egyfajta másodlagos irányító szervként funkcionálnak a húsz éve hagyományos, hierarchikus felépítésben működő DNS rendszer árnyékában - és ez bizalmi, biztonsági kockázatot jelent a net számára.

A nyílt névkiszolgálók túlnyomó része mégis korrektül működik és feltehetően csak a gondatlan konfigurálás miatt vált elérhetővé a nyilvános hálózaton - egy kis csoport, nagyjából minden ötvenedik viszont kétséges érvényességű vagy kifejezetten helytelen válaszokat ad. A bizonyíthatóan kártékony, rosszindulatú DNS-szerver példányok részesedése a teljes populációban mindössze 0,4%-ot tesz ki, számszerűsítve azonban ez is 68 ezer darab, a netes bűnözők kezén lévő útbaigazító szervert jelent.

A hamis válaszokat adó "nyitott rekurzív" névkiszolgálók segítségével a hackerek, az elektronikus csalók és a kéretlen reklámok terjesztői tévútra terelhetik azokat a felhasználókat, akik banki, pénzügyi szolgáltatásokat kívánnak igénybe venni, vagy egyszerűen csak böngésznének a neten - ez önmagában nem lenne újdonság, de a fejlett módszerek alkalmazása nagyban megnöveli a támadók lehetőségeit.

A korábbiaknál többet tud az új ármány

Általánosságban véve a Windows gépek DNS-használatát aláaknázó támadások régóta jelen vannak a világhálón - az első ilyen fenyegetések körülbelül négy évvel ezelőtt jelentek meg. A vírusok eredetileg olyan módon manipulálták a névfeloldás menetét, hogy a fertőzött gépeken módosították a "hosts" fájl tartalmát, amely a legfontosabb hálózati helyek fix domén név - IP cím adatpárjait tartalmazza.

Mivel egy lista nem lehet tetszőlegesen hosszú, a programkártevők ezt a módszert többnyire negatív értelemben használták: a 127.0.0.1 helyi cím megfeleltetésével a semmibe irányították számos IT-biztonsági cég - pl. Microsoft, Mcafee, Symantec - doménjei felé irányuló hálózati kapcsolódási kísérleteket, tovább nehezítve ezzel a fertőzött gép megtisztítását.

A modern web alapú DNS-csalás, amelynek széleskörű műszaki feltételei csak az utóbbi időben teremtődtek meg, ennél lényegesen többre hivatott. A nyílt, rekurzív szervereket uraló hackerek megtehetik, hogy a lekérdezések nagy részére korrekt feloldást adnak és a felhasználót csak alkalmanként vezetik félre.

A legkézenfekvőbb alkalom erre az, amikor a számítógép banki vagy pénzügyi témájú portálhoz próbál meg kapcsolódni. Az ügyfél ekkor egy, a valódira megszólalásig hasonló ún. adathalász (phishing) webhelyen találhatja magát - sőt elképzelhető, hogy ez esetben még a joggal várt riasztás is elmarad, mert az ilyen alacsony szintű változtatást az egyszerűbb anti-phishing szoftverek nem képesek detektálni.

Ez a csalási módszer természetesen csak akkor lehet sikeres, ha a támadók előbb rá tudják venni az adott számítógépen futó Windows operációs rendszert, hogy az megváltoztassa saját, működő DNS beállításait - ez sok esetben nem túl bonyolult feladat.

A hackerek számos forgalmas weblapon a biztonsági hibák kihasználására alkalmas ún. exploit kódot rejtettek el, amely egy registry kulcs távolról történő megváltoztatásával felülírja az odalátogató gépek DNS-kiszolgáló adatait. A kutatók eddig körülbelül 2100 darab ilyen célból létesített webhelyet azonosítottak és egy e-mail útján terjesztett, szintén a DNS-szerver bejegyzések kicserélésére készült trójai programmal is találkoztak már.

Ez a trükk persze csak a nem kellőképpen karban tartott, ezért sebezhető vagy éppen az átfogó biztonsági szoftverek védelmét nélkülöző számítógépekkel szemben lehet hatásos - frissítéseket, javítófoltot soha nem látott otthoni és munkaállomás PC-ből azonban így is túl sok található a neten.

Velük szemben gyakran nem szükséges kifinomult adathalász módszerekhez folyamodni, a hackerek számára az is elegendő profitot biztosít, ha a rosszindulatú nyílt DNS-szerver minden Google keresési találatra felbukkanó reklámablakokkal és ártalmas letöltéseket okádó weblapok címével válaszol.

Új webhez új fenyegetés dukál?

Chris Rouland, az IBM hálózatbiztonsági részlegének műszaki igazgatója úgy véli, hogy az új támadási módszer a Web 2.0 módszertan gyors terjedése miatt sajnos nagy jövő előtt áll. Ez a szakkifejezés egyébként nem valamilyen új műszaki alapokon nyugvó hálózatot jelöl, hanem olyan programozási megoldások összessége, amelyek lehetővé teszik a számítógép helyi ablakfelületéhez hasonlóan könnyen kezelhető, sokrétű és mégis gyorsan betöltődő weblapok megírását.

Ezeket az új fejlesztési módszereket a divatos kapcsolati hálózati portálok és csevegőszájtok építése során gyakran felhasználják, mivel gyors és látványos módon képesek összefogni a számos webes forrásból érkező adatokat - amelyek közül a valóságban nem mindegyik megbízható és veszélytelen. Mr. Rouland véleménye szerint az ilyen csatornákon beszivárgó nyílt, rekurzív DNS fenyegetések kiszűrésére egyelőre még a nagyvállalati biztonsági rendszerek sincsenek felkészítve.

A Georgia Tech kutatói a korrupt névfeloldás veszélyeit tárgyaló elemzésüket egy jövő februárban megrendezésre kerül san diego-i informatikai konferencián kívánják a szakmai közönség elé tárni, hogy ezzel hírveréssel is segítsék az általuk alapított, DNS-phishing elleni védelemre szakosodott Damballa cég piaci sikerét.