Lue uutinen mobiilisivustolla

Lukuisat suomalaispalvelimet yhä myrkytettävissä

8.2.2009 13:15 Viime aikoina on varoiteltu Conficker-madosta, jonka tiimoilta on kuitenkin nyt jo vähän aikaa vietetty hiljaiseloa. Mutta muistaako kukaan viime vuonna paljon metakkaa synnyttänyttä dns-haavoittuvuutta? Paras olisi, Cert-Fi:n tiedoista selviää.

Nimipalvelinten ylläpitäjien on Cert-Fi:n mukaan syytä tarkistaa palvelinten asetukset. Fi-verkkotunnuksilla on vielä paljon nimipalvelimia, jotka sallivat rekursiiviset nimipalvelukyselyt ja mahdollistavat dns cache poisoning -tyyppiset hyökkäykset.

Osa palvelimista on muuten suojattu, mutta vastaa sellaisiin kyselyihin, jotka koskevat nimipalvelimen omasta välimuistista löytyviä tietoja, jolloin niitä voi käyttää palvelunestohyökkäyksen vahvistamiseen.

Dns-aukon jatkuvasta ajankohtaisuudesta kertookin tammikuussa havaittu palvelunestohyökkäyksen laji, jossa käytetään hyväksi juuri tällaisia nimipalvelimia.

Viidennes turhan
avoimia

Noin viidennes fi-verkkotunnukseen liittyvistä nimipalvelimista on yhä asetuksiltaan turhan avoimia niin, että ne vastaavat kaikkiin niille tehtyihin rekursiivisiin kyselyihin. Määrä on jonkin verran laskenut viime kesästä, jolloin rekursiolle avoimia nimipalvelimia oli suoritetun testin perusteella noin joka neljäs, Cert-Fi sanoo.

Puolet rekursion hyväksikäytöltä suojatuista nimipalvelimista vastaa kuitenkin kysymyksiin välimuististaan löytyvillä tiedoilla (esimerkiksi kysyttäessä juurinimipalvelinten osoitteita).

Puolet suojaamattomista nimipalvelimista näyttää edelleen olevan ohjelmistoltaan sellaisia, että puutteellinen satunnaisuus helpottaa dns cache poisoning -tyyppisiä hyökkäyksiä.

Osa suojatuistakin nimipalvelimista ohjaa kyselyt toiselle, rekursion hyväksikäytöltä suojaamattomalle palvelimelle. Tällä tavoin toimii joka kymmenes kaikista nimipalvelimista.

Tuomas Linnake
tuomas.linnake@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (7)

0

0

Cert-FI olisi syytä ottaa suoraan yhteyttä näihin tietämiinsä onnettomiin ylläpitäjiin. Ja miksei myös laittaisi listan kaikkien nähtäville niin saisi vipinää aikaan sekä ylläpitäjissä, niiden asiakkaissa sekä krakkereissa.

jos ei muuten

Lainaa Ilmoita asiaton viesti

# 8.2.2009 17:19

4

304

Eihän tämä ehkä maailman vakavin tietoturva-aukko ollut OS-softassa eihän? Otetaanpa silmä käteen ja katsotaan missä softissa ne oikeasti pahimmat aukot ovat olleet. No kertokaapa. Miten olisi SSl, SSH, dns-palvelut, sendmail jne. jne. Jokaisessa noista aukot ovat olleet koodissa vuosikausia.

Miksi ne tuhannet koodia lukevat eivät löytäneet noita aukkoja. Siihenhän OS laatu perustuu että sitä koodia lukevat ne tuhannet silmäparit. Olen 100% varma että jos OS-puoli käyttäisi koodikatselmointeja niin suurin osa aukoista olisi löydetty. Nyt luotetaan myyttisiin "tuhansiin silmäpariin" ja tässä on tulos.

Yhtään merkittävää aukkoa ei ole löytänyt kukaan "selaanpa vain tästä koodia" -kaveri vaan aina kyseessä on ollut joko asiantuntija tai koodin kanssa muuten luonnollisesti tekemisissä oleva kaveri.

OS-pojat vievät varmaan autonsakin OS-katsastukseen ja huoltoon jossa tuhannet mekaanikot katsovat autoa ja toteavat että ihan kunnossa on. Sitten 6kk päästä lähtee henki kun oikeasti kukaan ei katsonutkaan autoa ja siinä oli vakavia puutteita. Sen saa kun ilmaista haluaa.

Missä olivat tuhannet silmäparit

Lainaa Ilmoita asiaton viesti

# 8.2.2009 19:24

17

1

Eihän tämä ehkä maailman vakavin tietoturva-aukko ollut OS-softassa eihän?

Tässä tapauksessa vika oli DNS-protokollassa eikä missään sen implementaatioista. Siksi kaikki DNS-palvelimet on päivitettävä riippumatta siitä millä alustalla ne pyörivät. Voi olla että tuossa juuri on ollut se sokea piste. Ne "tuhannet silmäparit" (joita oikeasti on ehkä 2) ovat tuijottaneet implementaation vastaavuutta protokollan kanssa eivätkä ole kyseenalaistaneet sitä onko itse protokolla kunnossa. Toki mielenkiintoista on se, että DNS-asiantuntijoitakin on kohtuullisen monta, silti tarvittiin jokapaikanhöylä Kaminsky löytämään ongelma.

TimoH

Lainaa Ilmoita asiaton viesti

# 8.2.2009 19:45

3

1

Olisi myös hyvä, jos Cert.fi tarjoaisi työkalun, jolla voisi varmistaa oman palvelimensa haavoittuvuuden, että tietää pitäisikö hätäillä vai ei.

palvelinpitäjä

Lainaa Ilmoita asiaton viesti

# 8.2.2009 23:58

1

1

Tänä aikana, kun dns-nettisensuuri valtaa alaa, niin tasan jätän omat nimipalvelimeni kenen tahansa käytettäviksi. Siitä on itselleenkin hyötyä, jos sattuu sensuuriverkossa asioimaan, niin voi aina ottaa omat nimipalvelimet käyttöön.

Mikko

Lainaa Ilmoita asiaton viesti

# 9.2.2009 7:47

147

2

Eihän tämä ehkä maailman vakavin tietoturva-aukko ollut OS-softassa eihän?

Ja eihän tämä kommentin kirjoittaja vain ollut vakavin MS-idiootti?

MS orjat

Lainaa Ilmoita asiaton viesti

# 9.2.2009 8:10

1

1

DNS-palvelimensa turvatasoa voi itse selvittää mm. seuraavissa palveluissa:

https://www.dns-oarc.net/oarc/services/dnsentropy

http://www.doxpara.com/

"Toope L."

Lainaa Ilmoita asiaton viesti

# 8.2.2009 18:22

Sivut: 1 Edellinen Seuraava

Kirjoita vastaus

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Saksalaisen teinitytön väitetään olleen kahdeksan vuotta orjana Bosniassa

• Poliisi: Ampuja kertoo katuvansa tekojaan
• Urhea kulkukoira seurasi pyöräilijöitä Kiinasta vuorten yli Tiibetiin
• Ankara kuivuus kurittaa Pohjois-Koreaa
• Ampuja keskeytti opinnot ja varusmiespalveluksen