Ładowanie
Na początku grudnia br. postanowiliśmy ponowić nasze testy bezpieczeństwa. Pobraliśmy w tym celu plik strefy domeny .gov.pl z serwera dns3.atman.pl za pomocą niezawodnego uniksowego narzędzia dig (dig @dns3.atman.pl gov.pl axfr). Następnie wykorzystaliśmy skrypt dostępny na www.dns-oarc.net/oarc/services/porttest i narzędzie do testowania rekursji z recursive.iana.org, by przetestować każdą z domen .gov.pl.
W ten sposób uzyskaliśmy listę 129 domen, które na 4 grudnia 2008 roku wciąż narażone były na atak cache poisoning. Wśród nich wyróżniliśmy 9 perełek. Zobaczcie je sami:
| sejm.gov.pl bor.gov.pl kprm.gov.pl nbp.gov.pl premier.gov.pl rzad.gov.pl uokik.gov.pl mst.gov.pl mswia.gov.pl |
Pozostałe domeny nie są już tak ekscytujące, ale warto spojrzeć i na tę listę:
| aan.gov.pl aleksandrowkuj.sr.gov.pl belchatow.upow.gov.pl bgw.gov.pl bialapodlaska.sr.gov.pl bialystok.sr.gov.pl bielsk-podlaski.sr.gov.pl bielsko-biala.sr.gov.pl bilgoraj.sr.gov.pl bochnia.sr.gov.pl bor.gov.pl brd.gov.pl brzeg.sr.gov.pl brzesko.sr.gov.pl bydgoszcz.sr.gov.pl cie.gov.pl ciechanow.sr.gov.pl cieszyn.sr.gov.pl cinn.gov.pl ck.gov.pl cokprm.gov.pl cyf.gov.pl dabrowatar.sr.gov.pl drawsko-pomorskie.sr.gov.pl e-konsulat.gov.pl ehealth.gov.pl ezdrowie.gov.pl fsusr.gov.pl futurum.gov.pl glubczyce.sr.gov.pl golubdobrzyn.sr.gov.pl gunb.gov.pl iimcb.gov.pl inowroclaw.sr.gov.pl ipj.gov.pl kbpn.gov.pl kcor.gov.pl kcynia.zp.gov.pl kluczbork.sr.gov.pl kolobrzeg.sr.gov.pl konstytucjaue.gov.pl koronowo.zp.gov.pl koszalin.sr.gov.pl kozle.sr.gov.pl kprm.gov.pl krasnystaw.urzad-skarbowy.gov.pl kujawy.psp.gov.pl lipno.sr.gov.pl lp.gov.pl lubliniec.sr.gov.pl manhaz.gov.pl mogilno.sr.gov.pl msp.gov.pl myszkow.sr.gov.pl mz.gov.pl mzios.gov.pl naklo.sr.gov.pl narkomania.gov.pl nbp.gov.pl negocjacje.gov.pl |
nfosigw.gov.pl nowe.zp.gov.pl nysa.sr.gov.pl olesno.sr.gov.plopole.sr.gov.pl opole.wif.gov.pl paa.gov.pl pca.gov.pl pgi.gov.pl pior.gov.pl pisf.gov.plplock.sr.gov.pl premier.gov.pl prudnik.sr.gov.pl rada-ds-uchodzcow.gov.pl radalegislacyjna.gov.pl radziejow.sr.gov.pl rio.gov.pl rownystatus.gov.pl rum.gov.pl rypin.sr.gov.pl rzad.gov.pl sar.gov.pl sc.gov.pl scmoz.gov.pl sejm.gov.pl sferapremiera.gov.pl sierpc.sr.gov.pl skargi-konsumenckie.gov.pl slawno.sr.gov.pl slupca.sr.gov.pl smwk.gov.pl sokolka.sr.gov.pl sppp.gov.pl strzelce.sr.gov.pl swiecie.sr.gov.pl swiecie.zp.gov.pl swinoujscie.sr.gov.pl swinoujscie.urzad-skarbowy.gov.pl szczecin.wiw.gov.pl szczecin.wskr.gov.pl szubin.sr.gov.pl szubin.zp.gov.pl tarnow.sr.gov.pl tarnowskiegory.piw.gov.pl trade.gov.pl trzemeszno.zp.gov.pl tuchola.sr.gov.pl ukie.gov.pl uokik.gov.pl urpl.gov.pl usc.gov.pl warszawa.oum.gov.pl wehusa.gov.pl wloclawek.sr.gov.pl wypadkikonsumenckie.gov.pl zamosc.sr.gov.pl zdrowie.gov.pl znin.sr.gov.pl zywiec.sr.gov.pl |
O niebezpieczeństwie związanym z atakami wykorzystującymi podatność odkrytą przez Dana Kaminsky'ego pisaliśmy już wielokrotnie. Można o tym również przeczytać na stronach ICANN-u i WebSense. Amerykański CERT opublikował też dokładny poradnik, poświęcony metodom zabezpieczenia się przed atakiem, dostępny pod adresem www.us-cert.gov/cas/techalerts/TA08-190B.html. Pozostało więc tylko zastosować się do tych zaleceń.
Problem przedstawiliśmy najważniejszym instytucjom odpowiedzialnym za bezpieczeństwo teleinformatyczne w Polsce – MSWiA oraz ABW. Wczoraj, tj. 17 grudnia br., otrzymaliśmy odpowiedź od Wioletty Paprockiej, rzeczniczki Ministerstwa Spraw Wewnętrznych i Administracji. Możemy m.in. przeczytać:
| (…) uprzejmie dziękujemy za zwrócenie uwagi na problem
bezpieczeństwa teleinformatycznego instytucji państwowych, a w
szczególności na problem odpowiedniego zabezpieczenia wszelkich
usług internetowych związanych z budową społeczeństwa
informacyjnego. Z uwagi na coraz większe zagrożenie
cyberterroryzmem dokładamy wszelkich starań, by zwiększyć
bezpieczeństwo naszych systemów teleinformatycznych. (…)
Jednocześnie informuję, że domena mswia.gov.pl obsługiwana jest
zarówno przez serwery będące własnością Ministerstwa, jak
również serwery delegowane, będące własnością jednego z
dostawców usług internetowych. W wyniku publikacji w prasie informacji o podatności serwerów DNS na atak typu „cache poisoning” Provider został o tym fakcie poinformowany oraz poproszony o wykonanie odpowiednich aktualizacji oprogramowania serwera. Oprogramowanie serwerów zostało niezwłocznie zaktualizowane do możliwie najwyższej wersji, jaką można zastosować w tych urządzeniach, ze względu na pełnione przez nie role. Jednakże z uwagi na dotychczasową funkcjonalność serwerów nie było możliwe zastosowanie pełnych patchy. Provider poinformował MSWiA o tym fakcie, jak również przeprowadził analizę i oszacowanie poziomu ryzyka. Z uwagi na fakt, iż poziom zabezpieczeń zaoferowany przez Providera nie może być wyższy, podjęta została decyzja o zmianie serwerów DNS na takie, które są w pełni zabezpieczone. Obecnie trwają rozmowy z Providerem na temat możliwości technicznych oraz terminu migracji usługi na nowe serwery. |
Powtórzyliśmy test dla domeny mswia.gov.pl. I faktycznie, jej status w teście IANA zmienił się z Highly Vulnerable na Vulnerable. Widać też, że wypadku wielu innych zagrożonych domen dochodzi do aktualizacji oprogramowania resolwerów. Cieszy podjęcie tych działań – czekamy więc na finalne zabezpieczenie ww. domen.
O komentarz poprosiliśmy jeszcze Andrzeja Bartosiewicza, kierownika działu domen w NASK-u. Powiedział on między innymi:
| Myślę, że MSWiA powinno jak najszybciej pozbyć się rekursywności z serwerów nazw, na które delegowana jest ich domena. Warto tutaj dać przykład policji, która po sygnale od redakcji Webhostingu.pl jeszcze w sierpniu zabezpieczyła swoje serwery w czasie mniejszym niż kilka godzin. Po sygnałach z NASK-u większość dostawców hostingu rozłączyło jeszcze w sierpniu funkcje rekursywne i autorytatywne. Niestety, widać, że nie wszyscy dostawcy usług webhostingowych zwracają uwagę na bezpieczeństwo. |
Browser:
Browser:
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2