Odkrywcy luki – Jian Jiang, Jinjin Liang, Kang Li, Jun Li, Haixin Duan oraz Jianping Wu, w swojej pracy „Ghost Domain Names: Revoked Yet Still Resolvable” wyjaśniają, że nazwy domen często służą cyberprzestępcom do takich działań jak phishing, kontrolowanie botnetów czy rozpowszechnianie malware. Typowym sposobem na walkę z tym procederem jest kasowanie służących złym celom nazw na poziomie rejestru.

Okazuje się jednak, że tego typu działania niewiele dają. Większość implementacji DNS – serwery BIND, Google'a, OpenDNS i Microsoftu, obciążone są błędem, który sprawia, że „złośliwa” domena pozostaje osiągalna długo po tym, jak została usunięta z serwerów DNS najwyższego poziomu. Dane empiryczne to potwiedzają: po sprawdzeniu ponad 19 tysięcy otwartych serwerów DNS okazało się, że w tydzień po odwołaniu domeny, ponad 70% serwerów wciąż było w stanie ją rozwiązać.

Z tego, co można wyczytać w artykule chińskich badaczy, problem wiąże się z polityką aktualizacji bufora DNS. Większość serwerów nie przestrzega ścisłych zasad aktualizacji informacji TTL (time-to-live), co pozwala na takie wydłużenie tego okresu, że nigdy nie zejdzie on do zera – i domena będzie rozwiązywalna.

Autorzy odkrycia sugerują też, że atak jest znany i wykorzystywany przez cyberprzestępców. Podobnego zdania jest też Jack Koziol z InfoSec Institute, który w wywiadzie dla TheRegister stwierdził, że technika ta może pozwolić na utrzymanie złośliwych domen przy życiu może i nawet w nieskończoność. Znacznie to utrudni pozbywanie się malware'u z Sieci. Koziol przyznał też, że choć nie ma jeszcze żadnych dowodów na stosowanie tego sposobu, to uruchomiono skrypty wypatrujące za „nieumarłymi” domenami.

Być może jednak nie będzie tak źle – Crocket Liu, znany ekspert od DNS i wiceprezes firmy Infoblox, uważa, że wystarczy zastrzec możliwość zadania rekursywnych zapytań tylko do autoryzowanych klientów z listą kontroli dostępu, by uniemożliwić cyberprzestępcom odświeżanie ich delegacji domen. Inną drogą jest oczywiście DNSSEC – tyle że wciąż niewiele stref zostało podpisanych.

Póki co, można się jednak spodziewać, że szkodliwe domeny będą „żyły” dłużej. Nawet jeśli właściciele „złych” domen nie wiedzieli, jak je ocalić, to powinni się dowiedzieć tego już z artykułu Prateeka Gianchandaniego, w którym opisuje on krok po kroku jak wykorzystać lukę w DNS i jak zlokalizować domeny z niej korzystające.

źródło: infosecinstitute.com, theregister.co.uk