... vagy rendellenességekre derül fény, akkor azokat mindig kiemelten kell kezelni. Ez történt a Dan Kaminsky biztonsági szakértő által felfedezett DNS-sérülékenység kapcsán is.

Dan Kaminsky a DNS-kezelésben rejlő súlyos sebezhetőségre már hónapokkal ezelőtt rábukkant. Amint feltérképezte a helyzetet értesítette az IT piac legnagyobb képviselőit annak érdekében, hogy a legnevesebb szakemberek bevonásával sikerüljön megoldást találni a problémára. Március végén egy tizenhat cégből álló csoport alakult, amelyben olyan vállalatok képviseltették magukat, mint például a Microsoft, a Cisco, a Sun Microsystems, a Red Hat és az Internet Software Consortium (ISC). A biztonsági hiba részleteibe beavatott szakértők munkája mostanra hozott eredményt, ugyanis a héten elérhetővé válhattak a különböző DNS-t kezelő operációs rendszerekhez és szerveralkalmazásokhoz kifejlesztett frissítések. A DNS-hibája különféle "cache poisoning" (gyorsítótár mérgezéses) támadásokat tesz lehetővé. Ezek révén például a webböngészőkben megjelenő weboldalak az internetezők tudta nélkül irányíthatók át más, akár kártékony weblapokra is.

Kaminsky elmondta, hogy a DNS-sérülékenység részleteit az augusztus elején megrendezésre kerülő Black Hat konferencián fogja a nyilvánosság elé tárni. A szakembernek ezzel a lépésével két célja van. Egyrészt így szeretné ösztönözni az internet szolgáltatókat és a vállalatokat arra, hogy mihamarabb frissítsék a rendszereiket. Másrészt a hiba részletes ismertetésének elhalasztásával kívánja megnehezíteni a támadók dolgát.

A DNS-hiba bejelentését követően komoly viták alakultak ki a szakemberek körében. Sokan ugyanis kételkedve fogadták a sebezhetőségről szóló híreket. Thomas Ptacek, a Matasano Security kutatója elmondta, hogy a DNS cache poisoning ilyesfajta jelenléte nem újdonság. A sérülékenység alapjául szolgáló, 16 bites session ID-kra visszavezethető probléma ugyanis már a 90 évek óta ismert. A SANS Internet Storm Center pedig egy olyan felvetéssel is előállt, miszerint elképzelhető a napokban bejelentett sérülékenységet már három évvel ezelőtt felfedezték.

A DNS-sebezhetőséggel kapcsolatos találgatásoknak Paul Vixie, az ISC elnöke igyekezett elejét venni. Õ tisztában van a hiba pontos részleteivel, és annyit elárult, hogy a három évvel ezelőtt ismertetett DNS-hiba nem egyezik meg a mostanival, de kétségtelenül hasonló jellegû problémáról van szó.

A legfontosabb azonban most az, hogy a DNS-kezelésében érintett operációs rendszerek és szoftverek mihamarabb kerüljenek frissítésre. Augusztus 7-én a Black Hat konferencián ugyanis lehull a lepel a sérülékenység pontos részleteiről. A támadók pedig minden bizonnyal ebben az esetben is résen lesznek.

(ComputerWorld - Kristóf Csaba)