Pelko vaarantaa nimipalvelimia
5.4.2007 09:49 Nimipalvelimien määrä kasvaa parinkymmenen prosentin vuosivauhdilla. Maailmassa on The Measurement Factoryn arvion mukaan yhdeksän miljoonaa ulkoista nimipalvelinta. Niiden tehtävä on kertoa, missä ip-osoitteessa minkäkin niminen sivu tai palvelu asuu.
Nimipalvelimia on käytetty organisaatioiden kiristämiseen ja niin sanottuihin pharming-hyökkäyksiin. Niissä nimipalvelin ohjaa käyttäjän antaman oikean osoitteen väärälle sivulle.
Jotkin nimipalvelimet näyttävät auliisti sisältönsä. Niihin päästään silloin melko helposti murtautumaan ja vaihtamaan tietty nimi osoittamaan väärään ip-osoitteeseen.
- Valesivut pyritään tekemään niin aidon näköisiksi, ettei tavallinen käyttäjä huomaa niissä mitään eroa. Keskivertokäyttäjältä ssl-sertifikaattien tutkiminen on aika paljon vaadittu, sanoo Nixu Softwaren toimitusjohtaja Juha Holkkola.
Asetuksista apua
Käytännössä kaikki internetin kautta käytettävät sovellukset tarvitsevat toimiakseen dns- (domain name system) järjestelmää eli nimipalvelua, joka muuntaa numeropohjaiset ip-osoitteet selväkielisiksi nimiksi.
Pharmingille altistavat myös dns-ohjelmiston haavoittuvuudet. Kertakäyttösalasanakaan ei auta, kun rikollinen saa sen huomaamattomasti vedetyksi välistä omaan käyttöönsä.
Holkkolalla on oma lehmä ojassa. Hänen yrityksensä myy ratkaisua nimipalvelinten turvaamiseen.
Maksulliseen ratkaisuun ei kuitenkaan tarvitsisi heti mennä. Pelkkä nimipalvelimen konfigurointi estää yleensä pharming-hyökkäykset ja joutumisen hyväksikäytetyksi niin sanotuissa rekursiivisissa hyökkäyksissä, joissa palvelimia kuormitetaan toistuvilla kyselyillä.
- Kiinnittämällä huomiota nimipalvelimien turvallisuuteen rekursiivisista hyökkäyksistä varmasti päästäisiin eroon. Yritteliäs löytää kyllä nimipalvelimia, joita vastaan pystyy hyökkäämään, mutta jos kaikki hoitavat oman tonttinsa, tilanne paranee.
BIND on vaikea hallita
Holkkolan mukaan ratkaisut, joita nimipalvelimissa käytetään, ovat vaikeita hallita ja konfiguroida turvallisiksi.
Noin 75 prosenttia nimipalvelimista käyttää avoimeen lähdekoodiin perustuvan BIND- (Berkeley Internet Name Daemon) sovelluksen eri versioita, lopuista iso osa on Microsoftin dns-palvelimia.
- BIND on lähtökohtaisesti konfiguroitu hyväksymään rekursiiviset kyselyt mistä tahansa. Sitä pitäisi rajoittaa, mutta koska hallinta ei ole hirveän helppoa, se jätetään tekemättä.
Hyväksikäytettävän nimipalvelimen hallinnoija ei välttämättä itse huomaa mitään, varsinkaan, jos hän ei aktiivisesti seuraa palvelimen statistiikkaa.
Holkkola uskoo, että konfigurointiongelmat johtuvat tietämättömyydestä ja pelosta.
- Usein nimipalvelin on kryptinen hallittava. Aika yleistä on, että jos palvelin on kerran saatu toimimaan, siihen ei mielellään kosketa ennen kuin on pakko.
The Measurement Factory tutki viime vuonna nimipalvelinten turvallisuutta. Hieman yli puolet niistä oli konfiguroitu sallimaan rekursiiviset kyselyt mistä tahansa.
Tietoturvallisen tavan mukaan nimipalvelimet pitäisi konfiguroida siten, että ne eivät sallisi rekursiivisia kyselyitä luotettujen verkkotunnusten ulkopuolelta. Ihanne olisi vain dns-käyttöön varattu, oikein konfiguroitu palvelin, jota päivitetään jatkuvasti.
Suomi ei ole muita parempi
Suomessakin nimipalvelimia on kymmeniätuhansia. Holkkola ei usko, että niiden tietoturvataso olisi sen korkeampi kuin muuallakaan.
- Varmasti operaattorit ja suurin osa isoista firmoista ovat kohtuullisen hyvin perehtyneet näihin asioihin, mutta paljon on sellaisiakin asennuksia, joissa on ongelmia.
Viimeaikaisissa nimipalvelinhyökkäyksissä suomalaiset olivat vain välikappaleita. Palvelimet oli konfiguroitu sallimaan kyselyt muualta.
- Niitä käytettiin hyväksi.
ICANN julkaisi viime viikolla helmikuun hyökkäyksestä raporttinsa, jonka mukaan isku vaikutti jossakin määrin kuuteen internetin 13:sta juurinimipalvelimesta. Niistä kaksi ei käyttänyt anycast-reititystä, ja ne kokivat hyökkäyksen karvaimmin.
Anycast auttoi ICANNin mukaan jakamaan kyselykuormaa useammille palvelimille. Menetelmä on nyt tulossa kaikkiin juurinimipalvelimiin.
Antti Kirves toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 16:47 Facebook-kaverin poisto johti kaksoismurhaan
- 16:26 Googlen lompakko hakkeroitiin helposti
- 16:15 Google pystyttää kilpailijaa Dropboxille
- 14:05 Alcatel-Lucent lopettaa työpaikkoja
- 14:02 Pirate Bay uhmaa muistitikulla estoja
- 14:00 Comptel puolittaa osingon
- 13:41 Kodak keskittyy kuvien tulostamiseen
- 13:37 Yle: Piraattiradio häiriköi Turun seudulla
- 12:37 Windows XP:lle harvinaisen vähän korjauksia
- 10:03 Itsemurhatehtaan johtajalta vohkittiin salasana
- 09:48 Googlen ensimmäinen työntekijä lähtee
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 7.2. Äidit käyvät imettämällä Facebookia vastaan
- 7.2. Intia perui toimiluvat, Telenor uhkaa lähteä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Viisi vuotta sitten
Paperilla pelaamista
10.02.2007 Helmikuun ensimmäisenä päivänä sähköisessä postilaatikossamme kolahti. Vuokraemäntämme oli tiukkaan sävyyn perimässä vuokraamme, jonka oli pitänyt saapua hänen käsiinsä kyseisenä päivänä.
Kolme vuotta sitten
5630 XpressMusic Suomeen loppukeväästä
10.02.2009 Maailman suurin matkapuhelinvalmistaja julkaisi uuden musiikkipuhelimen. Comes With Music -palvelun avaamisajankohta Suomessa on edelleen hämärän peitossa.
Taloussanomat
- Koulutettu, ole iloinen huonosta palkastasi 06:01
- SK: Nokia ulkoisti lokakuussa – Accenture jakaa jo eropaketteja 20:59
- Suoraan Wall Streetiltä: "Olen nyt alfauros" 20:24
- Kreikan sopu järkkyi jo: Puoluepomo aikoo äänestää ei 16:22
- Raatoja tulee ravintola-alalla: "Dokaaminen meni muodista" 15:01
- Tämä sana joutui pannaan – Ollila haluaa sen takaisin 15:39
- Erimielisyyksiä osingoista – OP-Pohjola antoi potkut pankkiirilleen 10:07
- USA:ssa luottamus notkahti vielä pelättyäkin enemmän 17:32
- Merkel: Kreikka tarvitsee lisää apua 13:01
- Kreikan poliisi haluaa pidättää EU-virkailijat 17:12
- » Taloussanomat.fi
Kommentit (19)
On kestämätön ratkaisu, että juuripalvelimien hallinto on keskitetty vain USA:n, varsinkin jos sitä hallitsee NSA.
http://yro.slashdot.org/article.pl?sid=07/03/31/1725221
" DHS Wants Master Key for DNS"
Pelottaa, että netissä on jotain Microsoftin DNS-palvelimia. Microsoftin palvelinkoodi on surkeimmasta päästä ja erittäin reikäistä. Omakin työpaikka teki ensin virheen ottaessaan Exchange-palvelimen, mutta se vaihtuikin sitten nopeasti Sunin toimittamaan ratkaisuun.
Secunian sivut tietävät kertoa, että kaikki Windows-palvelintuotteet ovat jatkuvasti reikiä täynnä, joita ei ole paikattu. Kriittisissä ympäristöissä, kuten DNS-palvelimet, pitäisi myös käyttää paljolti testattuja ja koodiltaan avoimia ohjelmistoja, kuten BIND.
Secunian sivut tietävät kertoa, että kaikki Windows-palvelintuotteet ovat jatkuvasti reikiä täynnä, joita ei ole paikattu. Kriittisissä ympäristöissä, kuten DNS-palvelimet, pitäisi myös käyttää paljolti testattuja ja koodiltaan avoimia ohjelmistoja, kuten BIND.
Jospa nyt katsoisit myös niitä lähteitä joihin viittaat.
Secunialla ei ole yhtään Windowsin DNS -palvelun bullettinia:
h t t p : / / secunia.com/search/?search=Windows+DNS+service
(DNS Clientistä on yksi ja yksi servicen oikeuksista)
Sitten jos hakee Secuniasta BIND:illä:
Found: 148 Secunia Security Advisories, displaying 1-25
Title Date
ISC BIND Denial of Service Vulnerabilities 2007-01-25
BIND OpenSSL Vulnerabilities 2006-11-07
ISC BIND Denial of Service Vulnerabilities 2006-09-06
BIND Zone Transfer TSIG Handling Denial of Service 2006-04-26
BIND Validator Denial of Service Vulnerability 2005-01-26
BIND "q_usedns" Array Buffer Overflow Vulnerability 2005-01-26
BIND Negative Cache Poisoning Vulnerability 2003-11-27
ISC BIND Multiple Vulnerabilities 2003-03-07
BIND serious remote vulnerabilities 2002-11-12
Ja niin pois päin. Saahan sitä trollata ja mäsää haukkua, mutta niin heikolla risalla kuin BIND ei juuri kannattaisi lesoilla. Ja kun se on sekä reikäinen että yleinen, niin mistä tässä nyt kannattaisi olla huolissaan?
Secunian sivut tietävät kertoa, että kaikki Windows-palvelintuotteet ovat jatkuvasti reikiä täynnä, joita ei ole paikattu. Kriittisissä ympäristöissä, kuten DNS-palvelimet, pitäisi myös käyttää paljolti testattuja ja koodiltaan avoimia ohjelmistoja, kuten BIND.
Jospa nyt katsoisit myös niitä lähteitä joihin viittaat.
Secunialla ei ole yhtään Windowsin DNS -palvelun bullettinia:
http://secunia.com/search/?search=Windows+DNS+service
(DNS Clientistä on yksi ja yksi servicen oikeuksista)
Sitten jos hakee Secuniasta BIND:illä:
Found: 148 Secunia Security Advisories, displaying 1-25
Title Date
ISC BIND Denial of Service Vulnerabilities 2007-01-25
BIND OpenSSL Vulnerabilities 2006-11-07
ISC BIND Denial of Service Vulnerabilities 2006-09-06
BIND Zone Transfer TSIG Handling Denial of Service 2006-04-26
BIND Validator Denial of Service Vulnerability 2005-01-26
BIND "q_usedns" Array Buffer Overflow Vulnerability 2005-01-26
BIND Negative Cache Poisoning Vulnerability 2003-11-27
ISC BIND Multiple Vulnerabilities 2003-03-07
BIND serious remote vulnerabilities 2002-11-12
Ja niin pois päin. Saahan sitä trollata ja mäsää haukkua, mutta niin heikolla risalla kuin BIND ei juuri kannattaisi lesoilla. Ja kun se on sekä reikäinen että yleinen, niin mistä tässä nyt kannattaisi olla huolissaan?
Avoimen koodin aukot korjataan nopeammin kuin Microsoftin, jotka saattavat säilyä koodissa jopa 10 vuotta (viitaten erääseen NT3:sta peräisin ja XP:stä lopulta korjattuun haavoittuvuuteen).
Microsoftin koodi (myös palvelimissa) on reikäisempää kuin kenenkään muun. BIND on DNS-palvelimeksi varmin valinta.
Eipä tuosta BIND:istä ole nykyisellään mitään kummempia haavoittuvuuksia löytynyt, kyseessä on erittäin vanha ohjelmisto Sendmailin tapaan, joten historia on pitkä myös.
Microsoftin koodi palvelinkoneissa on aina yhtä pelottava ajatus.