Anketi: 10'unda bir DNS Sunucusu 'önemsiz derecede Savunmasız'

Internet'in DNS (Alan Adı Sistemi) sunucularının yüzde 10'undan fazlası, halka dönük İnternet ad sunucularının dünya çapındaki bir araştırmasına göre, hala önbellek zehirlenmesi saldırılarına karşı savunmasız durumda.

Güvenlik açıkları açıklanmasından ve düzeltmelerin yapılmasından bu yana birkaç ay geçtiğini söyleyen şirket, Infoblox firması yıllık anketi yapan DNS uzmanı Cricket Liu.

"Orada 11.9 milyon isim sunucusunun var olduğunu tahmin ediyoruz ve yüzde 40'ın üzerinde açık tekrarlamaya izin veriyoruz. Böylece, kimsenin sorgularını kabul ediyorlar. Bunlardan bir çeyrek yok. Yani Infoblox'un mimarlık başkan yardımcısı olan Liu, “3 milyondan fazla isimsiz var.” [

] [Daha fazla okuma: Kötü amaçlı yazılım nasıl kaldırılır? senin rüzgarından ows PC]

Diğer DNS sunucuları tekrarlamaya izin verebilir, fakat herkese açık değiller, bu yüzden anket tarafından alınmadılar, dedi.

Liu, sıklıkla adlandırılan önbellek zehirlenmesi savunmasızlığını söyledi. Temmuz ayında güvenlikle ilgili ayrıntıları yayınlayan güvenlik araştırmacısı Dan Kaminsky gerçek: "Kaminsky kamuoyuna duyurulduğu günlerde sömürüldü." Dedi.

Güvenlik açığını hedefleyen modüller, saldırı ve sızma test aracı Metasploit'e eklendi., Örneğin. İronik bir şekilde, bir önbellek zehirlenmesi saldırısı tarafından tehlikeye atılan ilk DNS sunucularından biri, Metasploit'in yazarı HD Moore tarafından kullanıldı.

Şimdilik, önbellek zehirlenmesi kusuruna karşı panzehir port rastgeledir. Liu, farklı kaynak bağlantı noktalarından DNS sorguları göndererek, bir saldırganın hangi bağlantı noktasının zehirli veri göndermesi gerektiğini tahmin etmesini zorlaştırıyor.

Ancak, bu sadece kısmi bir düzeltmedir. “Port randomization problemi hafifletiyor ama bir saldırı imkansız hale getirmiyor” dedi. "DNSSEC güvenlik uzantılarının yaptığı kriptografik kontrolün yolunda gerçekten bir durma noktası var.

" DNSSEC, çok fazla altyapıya sahip olduğu için, uygulamak için çok daha uzun sürecek - anahtar yönetim, bölge imzalama, genel anahtar imzalama vb. Bu yıl DNSSEC kabulünde dikkate değer bir artış görebileceğimizi düşündük, ancak bir milyon örneklemden yalnızca 45 DNSSEC kaydının olduğunu gördük. Geçen yıl 44'ü gördük. ”

Liu, olumlu tarafta, anketin iyi haberlerin birkaç maddesini oluşturduğunu söyledi.Örneğin, e-posta sahtekarlığıyla mücadele eden gönderici politikası çerçevesi - SPF için destek - son 12 ay içinde yüzde 16,7 olan bölgelerin yüzde 12,6'sından yükseldi.

Buna ek olarak, internete bağlanan güvensiz Microsoft DNS Sunucu sistemlerinin sayısı toplamın yüzde 2,7'sinden yüzde 0,17'ye düştü. Bu sistemler hala kurumların içinde kullanımda olabilir, ancak önemli olan şu ki, “insanlar onları internete bağlamaktan kurtulamıyorlar.”

İleriye dönük olarak, Liu sadece açık özyinelemeli özel bir ihtiyacı olan kurumların olduğunu söyledi. sunucular - ve onları su basmaktan koruyacak teknik yetenekler - onları çalıştırmalı.

"Açık özyinelemeli sunucuların yüzdesini görmeyi çok isterim, çünkü yamalı olsalar bile inkar için büyük amplifikatörler yapıyorlar hizmet saldırıları "dedi." özyinelemeli sunuculardan kurtulun, ama sadece kimsenin bunları kullanmasına izin vermek zorunda değilsin. "