Kolejny bank ofiarą sieciowego ataku cache poisoning

Tym razem atak nastąpił na brazylijski bank i polegał on na przekierowaniu ruchu do fałszywej strony. Chodzi o Bradesco – jeden z największych bankow w Ameryce Łacińskiej, obsługujący ponad 40 milionów klientów.

Użytkownik systemu bankowości elektronicznej wpisywał w przeglądarce właściwą nazwę domenową, ale serwer DNS u ISP, zamiast prawdziwego adresu IP, podawał fałszywy, „wstrzyknięty” do DNS przez hakerów.

O cache poisoning pojawiło się już bardzo wiele materiałów w roku 2008 na stronach m.in. na łamach Webhosting.pl, a światowe agencje informacyjne podniecały się „Dan Kaminsky vulnerability” przez kilka miesięcy. Mimo to, jak widać, nie wszyscy ISP zrozumieli, że problem istnieje i może mieć poważne konsekwencje.

Ataki typu cache-poisoning zdarzają się dość często, mimo że wszyscy wiedzą (przynajmniej teoretycznie), jak z tym walczyć. Część ataków zapewne nawet jest niewykrywanych, bo celem hakerów nie jest zwrócenie na siebie uwagi, tylko zarobienie pieniędzy.

Po co więc wspominam ten problem i mówię o tym konkretnym ataku w Brazylii. Otóż nadal w Polsce część serwerów jest narażona na ataki tego typu i administratorzy nie wzięli pod rozwagę informacji o tym zagrożeniu. Warto więc uczyć się na cudzych błędach i sprawdzić jeszcze raz, czy aby nasze serwery DNS są bezpieczne.

Jeśli teraz choć kilku administratorów sprawdzi, czy ich serwery DNS są odporne na cache poisoning (może mieli np. upgarde oprogramowania i przypadkowo utracili randomizację odpowiedzi DNSowych?), to bezpieczeństwo naszego Internetu poprawi się chociaż troszeczkę.

Strona tego bloga

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

7 skomentuj »

Komentarze

#1 wwww 2009-04-22 13:07:05 0
Nie trzeba długo szukać w Polsce banków narażonych na to samo...

Z dzisiaj:

NOBLEBANK z domeną NOBLEBANK.pl jest

"Highly vulnerable. The

servers tested for NOBLEBANK.PL appear highly vulnerable to cache

poisoning. Immediate action should be taken to rectify the problem."

serwer NS3.EO.PL, 217.17.46.218:

Is recursive, without source port randomisation

DOMBANK z domeną DOMBANK.pl ma problem z randomizacją:

"Vulnerable. The servers tested for DOMBANK.PL appear vulnerable to cache poisoning. However, those providing recursive name servers have unpredictable source ports so the risk is lowered, but not eliminated."

W GetInBanku, jeden z serwerów jest nieosiągalny po IPv6...

"Note that not all authoritative name servers could be reached, so there may be additional issues that were not discovered."
IP: 193.59.204.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7
#2 Andrzej Bartosiewicz^® 2009-04-23 12:19:31 0
Po sprawdzeniu serwerów DNS poszczególnych banków można podzielić je na trzy kategorie:

Serwery DNS Highly vulnerable (co robią administratorzy w tych bankach? czemu serwery autorytatywne służą za rekursywne):

NOBLE BANK: dwa serwery "Vulnerable", jeden niedostępny (NS2.OPEN.PL), jeden serwer (NS3.EO.PL) Higly vulnerable lub Vulnerable (widać randomizacja jest "na granicy" i podczas jedengo sprawdzenia wychodzi "Vulnerable" a podczas innego "Highly vulnerable").

Santander Consumer: Jeden serwer Higly vulnarable (PERSEUS.BANCOSANTANDER.ES)

KRD (Krajowy Rejestr Długów): Higly vulnerable (LUK.DEPT.PL) + wszystkie NSy w tej samej sieci IP (też błąd!)

Serwery DNS Vulnerable, czyli są problemy z bezpieczeństwem DNS ale te problemy nie są krytyczne:

ING BANK (ingbank.pl): wszystkie serwery "Vulnerable"

DOMBANK:dwa serwery "Vulnerable"

BPH PBK: jeden serwer "Vulnerable" i to wstyd że to serwer w CYFRONECIE, kolebce Internetu w Polsce, oj wstydźcie się administratorzy w Cyfronecie (po 9 miesiącach od ujawnienia luki Wasz serwer tak się zachowuje!?)

AIG: wszystkie serwery "Vulnarable"

Oraz banki gdzie administratorzy wiedzą jak konfiguruje się DNS:

PKO: OK

GE Bank: OK

GETINBANK: OK

BZ WBK: OK

CITI HANDLOWY: OK

Sprawdzenie dokonano w oparciu o recursive.IANA.org. Każdą z domen sprawdzono po kilka razy (minimum trzy razy).

Wyniki sprawdzenia znajdują się pod adresem:

http://bartosiewicz.pl/2009_04_23_BANKI.jpg

A.Bartosiewicz, NASK
IP: 193.59.204.[...] http://www.bartosiewicz.pl
#3 MrMANN 2009-04-23 15:16:43 0
Ja nie rozumiem jednej rzeczy, dlaczego te serwery są typu rekursywnego??? Przecież gdyby były "normalne" to by nie było żadnego zagrożenia... ktoś mi to wytłumaczy?
IP: 89.240.124.[...] Opera/9.64 (Windows NT 5.1; U; <a href="http://pozmu.net">pozmu.net</a>; pl) Presto/2.1.1
#4 Andrzej Bartosiewicz^® 2009-04-23 15:36:33 0
@03: własnie to pytanie zadajemy w takich sytuacjach... ...zapewne po to, aby NSy wykonywały te dwie funkcje - oszczędność jednej maszyny (fizycznej lub wirtualnej)...

Można powiedzieć prosto: głupotą administratorów jest łączenie tych funkcji, a jak przekonał się bank w Brazyli za głupotę się płaci... :)

A.Bartosiewicz, NASK
IP: 193.59.204.[...] http://www.bartosiewicz.pl
#5 Ciekawy 2009-04-28 15:14:55 0
a Bank Gospodarki Żywnościowej, Bank Spółdzielczy, Kredyt Bank - mógłbym prosić o szersze zestawienie
IP: 83.10.236.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.9) Gecko/2009040821 Firefox/3.0.9
#6 Andrzej Bartosiewicz^® 2009-05-04 16:01:27 0
BGŻ, Kredyt Bank - OK

Bank Polskiej Spoldzielczosci SA (bankbps.pl) - Highly vulnerable (NS1.ETELBANK.PL), innych banków spółdzielczych nie sprawdzalałem

A.Bartosiewicz
IP: 213.158.196.[...] http://www.bartosiewicz.pl
#7 Andrzej Bartosiewicz^® 2009-05-04 16:45:07 0
Uaktualnienie statystyk według stanu na 4 maja, godzina 16.00, znajduje się na stronie:

www.bartosiewicz.pl/blog

Kilka banków poprawiło swoje NSy, mam nadzieję że juz na stałe. Gratulacje dla tych banków!
IP: 193.59.204.[...] http://www.bartosiewicz.pl

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.