Podľa vyhlásenia publikovaného tento týždeň, na ktorom pracovala spoločnosť Google Inc. a the Georgia Institute of Technology vyplýva, že používanie podvodných DNS serverov neustále narastá. Tieto DNS sú spravované skupinou hackerov a smerujú obeť na stránky podobné tým, ktoré sa používajú pri phishingu na zisťovanie citlivých údajov od majiteľa.

Podľa vyhlásenia sa vo svete nachádza zhruba 68,000 DNS serverov, ktoré smerujú určitý internetový traffic na stránky vytvorené pre okrádanie nič netušiacich obetí. Predtým, ako budem pokračovať je dobré si povedať čo je to DNS a načo sa používa.

Domain Name System alebo DNS je systém, ktorý ukladá prístup k informácii o názve stroja (hostname) a názve domény v istej distribuovanej databáze v počítačových sieťach ako internet. Najdôležitejšie je, že poskytuje mechanizmus získania IP adresy pre každé meno stroja (lookup) a naopak (reverse), a uvádza poštové servery (MX záznam) akceptujúce poštu pre danú doménu.

DNS poskytuje na internete všeobecne dôležitú službu, pretože kým počítače a sieťový hardvér pracujú s IP adresami, ľudia si vo všeobecnosti ľahšie pamätajú mená strojov a domén pri použití napr. v URL a e-mailovej adrese (obzvlášť nepríjemné by to bolo pri IPv6 adrese). DNS tak tvorí prostredníka medzi potrebami en:wetware a softvéru.

Zdroj: Wikipedia [sk]

Celá problematika okolo podvodných DNS serverov bola predstavená na konferencii the Internet Society’s Network and Distributed System Security Symposium v San Diegu, CA, USA.

Podvod funguje asi takto: Pravdepodobne ste sa už niekedy v živote stretli s phisingovým emailom, alebo ste o ňom čo to čítali. Podobným spôsobom funguje aj tento typ útoku, teda aspoň jedna jeho časť. Užívateľ je najskôr infikovaný škodlivým kódom (napríklad trojanom), ktorý mu zmení DNS záznamy na počítači, vďaka čomu je celý jeho traffic presmerovaný cez útočníka. Obeť sa následne snaží dostať na stránku, ako napríklad google.com avšak je presmerovaný na podvodnú stránku, ktorá sa z obete snaží vylákať citlivé informácie, akými môžu byť informácie o platobnej karte, prístupové údaje na email, údaje o bankovom konte a tak podobne. Užívateľ v dobrej viere, že sa jedná o skutočný problém informácie poskytne. Rovnako sa môžu na stránkach nachádzať rôzne reklamné systémy nútiace užívateľa kliknúť, čím vytvárajú zisk útočníkom.

Kvalita podvodných stránok sa líši. Niektoré sú úžasne presvedčivé, iné sú naopak zábavne už len tým, že obsahujú množstvo pravopisných chýb, alebo chýb v preklade.

Dôležitosť DNS systému nie je nutné vyzdvihovať, vďaka nemu je možné zistiť kto chce kontaktovať koho na internete pri surfovaní po web stránkach. DNS systém je starý ako internet sám a bezpečnosť je jeho veľkou slabinou. Väčšina užívateľov používa automaticky DNS záznamy od svojho providera, avšak pri tomto útoku sú DNS záznamy zmenené a obeť má minimálnu šancu zistiť, že sa stala obeťou podvodu.

Podvodné DNS servery sa samozrejme správajú presne ako tie normálne, nie vždy presmerovávajú užívateľa na podvodné stránky, čím vytvárajú falošný dojem bežnej prevádzky. Preto sú užívatelia ľahšie presvedčiteľní aby vyplnili podvodnú stránku. Z ich strany neprišlo k žiadnemu podnetu na otvorenie takejto stránky (ako to býva pri phishingu, keď je nutné otvoriť linku v emaily). Útočník si sám zvolí, kedy je obeť presmerovaná a na aký typ podvodnej stránky.

Tieto útoky nie sú žiadnou novinkou. Zisku-chtiví útočníci majú hlbokú znalosť fungovania internetu a vedia zasiahnuť na miesta, kde sa “stretáva” najviac ľudí. Potenciál zisku sa vtedy zmnohonásobuje. Nie je žiadnym tajomstvom, že úspešní hackeri zarábajú ročne desiatky miliónov dolárov.

O túto problematiku sa the Georgia Institute of Technology a Google Inc. zaujímajú už niekoľko rokov. Prvé výsledky boli zverejnené v roku 2003. Bezpečnostní experti, ktorí sa na tvorení tejto štúdie nepodieľali varujú, že zverejňovanie takýchto informácií môže viesť k zvyšovaniu popularity tohoto typu útoku.

“Mnoho ľudí si neuvedomuje závažnosť tohoto typu útoku. Tento problém sa bude už len zhoršovať” vyjadril obavu Paul Ferguson, bezpečnostný výskumník spoločnosti Trend Micro Inc.

Faktom je, že internet zažíva boom už niekoľko rokov a mnoho užívateľov má prístup k informáciám, ktoré môžu zneužiť vo svoj prospech. Je to vidieť aj na počte jednotlivých útokov, aj na šírení škodlivých kódov (vírusov, trojanov atď). Internet má už svoj vek a na jeho dostatočné zabezpečenie sa v jeho začiatkoch nemyslelo. Pravdou je, že nik nemohol predpokladať vývoj, aký internet za tie roky zaznamenal. Dnes je prakticky nemožné jednoducho ošetriť problémy, ktoré spôsobujú staré protokoly a tisíce závažných chýb, akou je napríklad zabezpečenie DNS systému.

Tu platí jediná rada. Dávajte si pozor a každý deň si prekontrolujte nastavenia a pri najmenšom podozrení podstúpte kroky pre preverenie celého počítača. Základ je mať dobrý anti-vírusový program, stále aktuálny systém, dobre nastavenú bezpečnostnú politiku správy počítača (napríklad nebežať ako administrátor), používať zdravý rozum pri akejkoľvek práci s internetom a počítačom, atď.

Originálnu správu si môžete prečítať na stránkach The Associated Press.