MSWiA podejmuje pierwsze kroki w celu zabezpieczenia stron WWW w domenie .gov.pl

12 sierpnia 2008 roku opublikowaliśmy wiadomość pt. Resolwery obsługujące domeny polskiego rządu wciąż podatne na atak. Sprawdziliśmy wówczas podatność resolwerów obsługujących domeny należące do polskich władz na atak typu cache poisoning, związany z luką w protokole DNS odkrytą przez Dana Kaminsky'ego. Wyniki okazały się dość ponure – okazało się, że wiele adresów wyjątkowo łatwo przejąć. Naszym odkryciem przejęła się policja i szybko zabezpieczyła serwer DNS obsługujący domenę policja.pl (gratulujemy). Pozostałe instytucje milczały.

Na początku grudnia br. postanowiliśmy ponowić nasze testy bezpieczeństwa. Pobraliśmy w tym celu plik strefy domeny .gov.pl z serwera dns3.atman.pl za pomocą niezawodnego uniksowego narzędzia dig (dig @dns3.atman.pl gov.pl axfr). Następnie wykorzystaliśmy skrypt dostępny na www.dns-oarc.net/oarc/services/porttest i narzędzie do testowania rekursji z recursive.iana.org, by przetestować każdą z domen .gov.pl.

W ten sposób uzyskaliśmy listę 129 domen, które na 4 grudnia 2008 roku wciąż narażone były na atak cache poisoning. Wśród nich wyróżniliśmy 9 perełek. Zobaczcie je sami:

sejm.gov.pl
bor.gov.pl
kprm.gov.pl
nbp.gov.pl
premier.gov.pl
rzad.gov.pl
uokik.gov.pl
mst.gov.pl
mswia.gov.pl

Pozostałe domeny nie są już tak ekscytujące, ale warto spojrzeć i na tę listę:

aan.gov.pl
aleksandrowkuj.sr.gov.pl
belchatow.upow.gov.pl
bgw.gov.pl
bialapodlaska.sr.gov.pl
bialystok.sr.gov.pl
bielsk-podlaski.sr.gov.pl
bielsko-biala.sr.gov.pl
bilgoraj.sr.gov.pl
bochnia.sr.gov.pl
bor.gov.pl
brd.gov.pl
brzeg.sr.gov.pl
brzesko.sr.gov.pl
bydgoszcz.sr.gov.pl
cie.gov.pl
ciechanow.sr.gov.pl
cieszyn.sr.gov.pl
cinn.gov.pl
ck.gov.pl
cokprm.gov.pl
cyf.gov.pl
dabrowatar.sr.gov.pl
drawsko-pomorskie.sr.gov.pl
e-konsulat.gov.pl
ehealth.gov.pl
ezdrowie.gov.pl
fsusr.gov.pl
futurum.gov.pl
glubczyce.sr.gov.pl
golubdobrzyn.sr.gov.pl
gunb.gov.pl
iimcb.gov.pl
inowroclaw.sr.gov.pl
ipj.gov.pl
kbpn.gov.pl
kcor.gov.pl
kcynia.zp.gov.pl
kluczbork.sr.gov.pl
kolobrzeg.sr.gov.pl
konstytucjaue.gov.pl
koronowo.zp.gov.pl
koszalin.sr.gov.pl
kozle.sr.gov.pl
kprm.gov.pl
krasnystaw.urzad-skarbowy.gov.pl
kujawy.psp.gov.pl
lipno.sr.gov.pl
lp.gov.pl
lubliniec.sr.gov.pl
manhaz.gov.pl
mogilno.sr.gov.pl
msp.gov.pl
myszkow.sr.gov.pl
mz.gov.pl
mzios.gov.pl
naklo.sr.gov.pl
narkomania.gov.pl
nbp.gov.pl
negocjacje.gov.pl

nfosigw.gov.pl
nowe.zp.gov.pl
nysa.sr.gov.pl
olesno.sr.gov.plopole.sr.gov.pl
opole.wif.gov.pl
paa.gov.pl
pca.gov.pl
pgi.gov.pl
pior.gov.pl
pisf.gov.plplock.sr.gov.pl
premier.gov.pl
prudnik.sr.gov.pl
rada-ds-uchodzcow.gov.pl
radalegislacyjna.gov.pl
radziejow.sr.gov.pl
rio.gov.pl
rownystatus.gov.pl
rum.gov.pl
rypin.sr.gov.pl
rzad.gov.pl
sar.gov.pl
sc.gov.pl
scmoz.gov.pl
sejm.gov.pl
sferapremiera.gov.pl
sierpc.sr.gov.pl
skargi-konsumenckie.gov.pl
slawno.sr.gov.pl
slupca.sr.gov.pl
smwk.gov.pl
sokolka.sr.gov.pl
sppp.gov.pl
strzelce.sr.gov.pl
swiecie.sr.gov.pl
swiecie.zp.gov.pl
swinoujscie.sr.gov.pl
swinoujscie.urzad-skarbowy.gov.pl
szczecin.wiw.gov.pl
szczecin.wskr.gov.pl
szubin.sr.gov.pl
szubin.zp.gov.pl
tarnow.sr.gov.pl
tarnowskiegory.piw.gov.pl
trade.gov.pl
trzemeszno.zp.gov.pl
tuchola.sr.gov.pl
ukie.gov.pl
uokik.gov.pl
urpl.gov.pl
usc.gov.pl
warszawa.oum.gov.pl
wehusa.gov.pl
wloclawek.sr.gov.pl
wypadkikonsumenckie.gov.pl
zamosc.sr.gov.pl
zdrowie.gov.pl
znin.sr.gov.pl
zywiec.sr.gov.pl

O niebezpieczeństwie związanym z atakami wykorzystującymi podatność odkrytą przez Dana Kaminsky'ego pisaliśmy już wielokrotnie. Można o tym również przeczytać na stronach ICANN-u i WebSense. Amerykański CERT opublikował też dokładny poradnik, poświęcony metodom zabezpieczenia się przed atakiem, dostępny pod adresem www.us-cert.gov/cas/techalerts/TA08-190B.html. Pozostało więc tylko zastosować się do tych zaleceń.

Problem przedstawiliśmy najważniejszym instytucjom odpowiedzialnym za bezpieczeństwo teleinformatyczne w Polsce – MSWiA oraz ABW. Wczoraj, tj. 17 grudnia br., otrzymaliśmy odpowiedź od Wioletty Paprockiej, rzeczniczki Ministerstwa Spraw Wewnętrznych i Administracji. Możemy m.in. przeczytać:

(…) uprzejmie dziękujemy za zwrócenie uwagi na problem bezpieczeństwa teleinformatycznego instytucji państwowych, a w szczególności na problem odpowiedniego zabezpieczenia wszelkich usług internetowych związanych z budową społeczeństwa informacyjnego. Z uwagi na coraz większe zagrożenie cyberterroryzmem dokładamy wszelkich starań, by zwiększyć bezpieczeństwo naszych systemów teleinformatycznych. (…) Jednocześnie informuję, że domena mswia.gov.pl obsługiwana jest zarówno przez serwery będące własnością Ministerstwa, jak również serwery delegowane, będące własnością jednego z dostawców usług internetowych.

W wyniku publikacji w prasie informacji o podatności serwerów DNS na atak typu „cache poisoning” Provider został o tym fakcie poinformowany oraz poproszony o wykonanie odpowiednich aktualizacji oprogramowania serwera. Oprogramowanie serwerów zostało niezwłocznie zaktualizowane do możliwie najwyższej wersji, jaką można zastosować w tych urządzeniach, ze względu na pełnione przez nie role. Jednakże z uwagi na dotychczasową funkcjonalność serwerów nie było możliwe zastosowanie pełnych patchy. Provider poinformował MSWiA o tym fakcie, jak również przeprowadził analizę i oszacowanie poziomu ryzyka. Z uwagi na fakt, iż poziom zabezpieczeń zaoferowany przez Providera nie może być wyższy, podjęta została decyzja o zmianie serwerów DNS na takie, które są w pełni zabezpieczone. Obecnie trwają rozmowy z Providerem na temat możliwości technicznych oraz terminu migracji usługi na nowe serwery.

Powtórzyliśmy test dla domeny mswia.gov.pl. I faktycznie, jej status w teście IANA zmienił się z Highly Vulnerable na Vulnerable. Widać też, że wypadku wielu innych zagrożonych domen dochodzi do aktualizacji oprogramowania resolwerów. Cieszy podjęcie tych działań – czekamy więc na finalne zabezpieczenie ww. domen.

O komentarz poprosiliśmy jeszcze Andrzeja Bartosiewicza, kierownika działu domen w NASK-u. Powiedział on między innymi:

Myślę, że MSWiA powinno jak najszybciej pozbyć się rekursywności z serwerów nazw, na które delegowana jest ich domena. Warto tutaj dać przykład policji, która po sygnale od redakcji Webhostingu.pl jeszcze w sierpniu zabezpieczyła swoje serwery w czasie mniejszym niż kilka godzin. Po sygnałach z NASK-u większość dostawców hostingu rozłączyło jeszcze w sierpniu funkcje rekursywne i autorytatywne. Niestety, widać, że nie wszyscy dostawcy usług webhostingowych zwracają uwagę na bezpieczeństwo.

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

3 skomentuj »

Komentarze

#1 karafka 2008-12-19 08:45:36 0
no panowie, szacun. to sie nazywa dziennikarstwo
None
#2 webmaster 2008-12-29 09:02:51 0
Po publikacji Waszego artykułu większość z tych perełek przechodzi testy. Przydałaby się jakaś aktualizacja.
None
#3 Jarek 2009-08-19 07:47:52 0
Możecie zabezpieczyć mi strone proszę o odpowiedź oid GG 8577298
IP: 79.163.9.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.