Ładowanie
Pod koniec lipca br. opublikowaliśmy niepokojący artykuł Zbigniewa Jasińskiego, specjalisty ds. DNS-u w NASK-u, z którego można się dowiedzieć, że 69 procent resolwerów DNS w naszym kraju jest wciąż podatnych na atak cache poisoning. Tekst ten znalazł się w popularnym feedzie RSS serwisu DNS.pl, można się było zatem spodziewać, że dotrze do zainteresowanych specjalistów, którzy zrobią coś w tej sprawie. Okazuje się jednak, że sytuacja wciąż wygląda niewesoło.
Redakcja serwisu Webhosting.pl sprawdziła stan zabezpieczeń resolwerów, z których korzystają strony należące do polskiego rządu. Wykorzystaliśmy w tym celu udostępnione przez Internet Assigned Numbers Authority (IANA) narzędzie do testowania podatności na atak typu cache poisoning. Wyniki są wyjątkowo niepokojące – okazuje się, że domeny Ministerstwa Spraw Wewnętrznych i Administracji (MSWiA.gov.pl) oraz Komendy Głównej Policji (Policja.pl) są wyjątkowo łatwe do przejęcia.
Ministerstwo Spraw Wewnętrznych i Administracji powinno być szczególnie uczulone na sprawy bezpieczeństwa...
...podobnie jak i podległa ministerstwu Policja. Najwyraźniej jednak administratorzy mają inne zdanie.
W sytuacji, w której polski rząd angażuje się w międzynarodową zawieruchę na Kaukazie, opowiadając się jawnie po jednej ze stron konfliktu, można by przynajmniej oczekiwać, że zadba o bezpieczeństwo swojej infrastruktury informatycznej.
Sprawa oczywiście nie dotyczy tylko polskich władz – wiele znanych w naszym kraju serwisów, jak choćby TVN24.pl czy PAP.pl, jest równie narażonych na atak.
TVN24.pl. Bez komentarza.
Polska Agencja Prasowa. To również nie wymaga komentarza.
Są to jednak serwisy prywatne, a ich zabezpieczenie to już wyłącznie kwestia dobrej woli ich właścicieli. Jednak w wypadku witryn rządowych, stworzonych i utrzymywanych za publiczne pieniądze, powinniśmy oczekiwać, że władze zadbają o ich bezpieczeństwo.
Poprosiliśmy o wypowiedź w tej sprawie kierownika Działu Domen Naukowo-Akademickiej Sieci Komputerowej (NASK), doktora Andrzeja Bartosiewicza.
Powiedział on:
|
Dział Domen NASK obliczył w lipcu, że 69% serwerów DNS w Polsce narażone jest na atak cache poisoning. Nie oznacza to jednak, ze te 69% serwerów może zostać zaatakowane w taki sposób, aby atakujący wyrządził jakieś znaczące szkody. To zależy m.in. od pełnionej przez dany serwer funkcji. Największe zagrożenie stanowią rekursywne serwery należące do dużych ISP, gdzie taki atak może faktycznie wyrządzić szkody klientom. Istnieje jednak prawdopodobieństwo, że atak na niezabezpieczony „rekursywny serwer” będzie miał wpływ na pełnienie przez niego „autorytatywnych funkcji”. Niezależnie od pełnionej przez serwer funkcji powinno się zabezpieczyć wszystkie serwery, które dotychczas nie zostały załatane – tym bardziej że oprogramowanie i wiedza jak to zrobić, są dostępne już od ponad miesiąca. Warto też dodać, że często zupełnie niepotrzebnie administratorzy mieszają funkcje autorytatywne i rekursywne. Innymi słowy, serwer nie powinien nigdy pełnić jednocześnie obu tych funkcji. NASK w licznych informacjach prasowych (chociażby w serwisie Webhosting.pl dwa tygodnie temu) czy we własnym RSS-ie informował o zagrożeniu cache poisoning. Informacja ta była także powszechnie dostępna we wszystkich serwisach dotyczących bezpieczeństwa teleinformatycznego. Mamy nadzieję, że administratorzy połatają wszystkie swoje niezabezpieczone serwery, niezależnie od roli i wagi pełnionych przez te serwery funkcji. Warto też dodać, że tak wysoki procent niezabezpieczonych serwerów wynika m.in. z tego, że mamy w Polsce bardzo dużo małych firm świadczących usługi dostępu do Internetu i hostingu. Nie wszystkie one dbają o odpowiedni poziom bezpieczeństwa. Przykładowo: w Holandii, gdzie jest tylko dwóch głównych ISP, poziom zagrożenia jest znacznie niższy – jedynie 33 procent serwerów nadal narażonych na ten konkretny rodzaj ataku. W wypadku mniejszej liczby graczy na rynku zwyczajnie łatwiej jest skoordynować działania w zakresie bezpieczeństwa, a same firmy więcej inwestują w bezpieczeństwo, stąd też biorą się te dysproporcje. Mamy nadzieję, że podawanie od kilku tygodni w mediach informacji o zagrożeniach skłoni wreszcie administratorów do zajęcia się problemem. Najnowsze narzędzie do sprawdzania podatności na cache poisoning znajduje się na stronie http://recursive.iana.org/. Warto wpisać tam swoją domenę (swoją, swojej firmy itp.) i jeśli okaże się, że nasza domena delegowana jest na serwery narażone na atak, powinniśmy od razu zadzwonić do „centrum obsługi” swojego ISP. |
Miejmy nadzieję, że apel NASK-u w tej sprawie wpłynie wreszcie na opieszałość administratorów.
Aktualizacja
Andrzej Gaładyk, webmaster serwisu Policja.pl, podziękował nam za zwrócenie uwagi na problem i poinformował, że policyjni administratorzy już pracują nad tą sprawą.
Ten artykuł nie został jeszcze skomentowany. Bądź pierwszy!
Dyskusja
dodaj komentarz