Lue uutinen mobiilisivustolla

Maaliskuun dns-hyökkäys oli mittava

5.4.2005 16:47 Sans-instituutin Internet Storm Center on kerännyt tietoja maaliskuun alussa tehdyistä dns-tietojen väärennöksistä. ISC:n mukaan hyökkääjät saivat ohjattua ainakin yli kahdeksan miljoonaa sivupyyntöä vakoiluohjelmaa levittäneille palvelimille.

ISC:n mukaan dns-väärennöshyökkäyksiä (dns cache poisoning) on tehty maaliskuun alun jälkeen kolme kappaletta. Hyökkäyksessä yrityksen tai operaattorin paikallisen nimipalvelun tiedot turmellaan siten, että liikenne ohjautuu kohdesivuston sijaan väärään osoitteeseen.

Kahdessa hyökkäyksistä palvelimilla, joihin liikenne on ohjattu, on levitetty ABXToolbar-mainosohjelmaa vanhan Windows-aukon avulla. Ensimmäisessä hyökkäyksessä vääriä nimipalvelutietoja levitettiin yli 1 000 sivustosta, uusimmassa väärennettiin kaikki .com-toimialueen tiedot.

Tietoturvayhtiö Lurhq:n pay-per-click-hijacking-raportin mukaan hyökkääjät hyödyntävät Findwhat.com-nimisen yhtiön ohjelmaa, jossa sivustoille maksetaan niiden generoimista mainosnäytöistä. ABX-mainosohjelmaa käytetään tämän maksuohjelman sumuttamiseen ja luomaan ylimääräisiä mainoslatauksia.

Kahdeksan miljoonaa sivupyyntöä

Maaliskuun alussa dns-väärentäjät ohjasivat www-liikennettä kolmelle kaapatulle palvelimelle. ISC kertoo saaneensa kahden palvelimen kolmen päivän lokitiedot.

Kolmessa päivässä hyökkääjät saivat palvelimilleen lähemmäs kahdeksan miljoonaa sivupyyntöä. Yhteensä 1 309 sivuston dns-tietoja rukattiin kohteiksi joutuneissa järjestelmissä.

Hyökkääjien hallinnassa oleville palvelimille tuli kolmessa päivässä yli 70 000 eksynyttä sähköpostiviestiä, noin 8 000 imap-kirjautumisyritystä ja noin 7 500 ftp-kirjautumista.

ISC arvioi, että hyökkääjät väärensivät dns-tiedot noin 500 - 1 000 suuren tai keskisuuren yrityksen nimipalveluissa. Keskus on saanut ilmoituksia dns-väärennöksestä myös 10:ltä yli 1 000 työntekijän yritykseltä. Suurin osa yrityksistä on ollut pohjois- tai eteläamerikkalaisia.

Kotikäyttäjiin dns-väärennökset vaikuttavat vain, jos internet-yhteydentarjoajan dns-palvelun tiedot turmeltuvat.

Windows-reikä?

Haavoittuvien Symantecin palomuuri- ja gateway-tuotteiden lisäksi dns-väärennöksiä on ISC:n mukaan tehty myös Windows NT 4- ja 2000-järjestelmissä toimiviin dns-palvelimiin, jotka oletusasetuksilla ovat alttiita väärennöksille.

Lisäksi joidenkin raporttien mukaan Windows 2003- ja NT4/2000-järjestelmät ovat alttiita oikeista asetuksista huolimatta. ISC kertoo selvittävänsä asiaa Microsoftin kanssa.

ISC huomauttaa, että myös BIND-nimipalvelimet voivat väärin konfiguroituina olla alttiita nimipalvelutietojen väärennöksille.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Miljoonien viinakokoelma myyntiin vaimon vuoksi

• Obama perääntyi ehkäisykiistassa
• Kreikan pääministeri varoitti maksukyvyttömyyden johtavan kaaokseen
• Väyrysen matkakuluista ilmiriita keskustassa
• Maailman parhaat lehtikuvat palkittiin – katso kuvakooste