Atacuri care tintesc protocolul DNS – partea a doua

Cele mai frecvent intalnite atacuri la care protocolul DNS este susceptibil sunt atacurile de tip DNS spoofing si DNS cache poisoning.

Pe scurt, atacatorii reusesc sa corupa inregistrarile DNS care mapeaza numele site-urilor la adresele IP reale ale acestora si sa redirectioneze utilizatorul catre un site/server de-al atacatorilor care impersoneaza aproape la perfectie identitatea site-urilor legitime.

Printre tehnicile folosite de atacatori pentru a modifica cache-ul utilizatorului se numara si:

  • man in the middle – atacatorul reuseste sa se interpuna intre utilizator si serverul de DNS, alterand inregistrarile de pe ambele dispozitive. In acest mod, atacatorul reuseste sa redirectioneze utilizatorul curent, cat si oricare utilizator care foloseste serverul de DNS infectat
  • server hijack – atacatorul reuseste sa obtina control deplin asupra serverului de DNS. Astfel, hacker-ul poate redirectiona utilizatorul catre site-urile “fake” care pot fi puntea de lansare a altor atacuri

cache poisoning prin spam – atacatorii pot trimite cod malitios care sa modifice maparile din cache-ul utilizatorului prin mesaje email de tipul spam care pot contine fie link-uri malitioase, fie banner-e, reclame sau pop-uri prin care se injecteaza codul malitios. O data modificat cache-ul,  utilizatorul va fi trimis pe site-ul atacatorului, unde se afla adevaratele pericole.

Riscurile la care utilizatorii sunt expusi:

  • furtul de date – atacatorii au o mare afinitate pentru “clonarea” site-urilor de comert online. Redirectionarea utilizatorilor catre o clona inseamna pentru atacatori accesul la credentialele user-ului, la informatiile personale, precum si la datele de card
  • infectia cu malware – user-ul poate fi redirectionat catre un site care gazduieste malware. Atacurile de tip drive-by download sunt mod foarte usor de a infecta un dispozitiv care viziteaza site-ul. Spyware-ul si keylogger-ele sunt printre cele mai “download-ate” item-uri de pe respectivul site.
  • blocarea accesului la site-urile care ofera patch-uri de securitate, update-uri de software si semnaturi de antivirus – astfel, atacatorii pot impiedica utilizatorul sa se protejeze de anumite variante de malware, inclusiv de atacuri de tip “zero-day”, expunand sistemul pentru o perioada indelungata de timp la amenintari actuale si viitoare
  • cenzura – unele guverne sau grupari de tipul APT pot modifica traficul de DNS astfel incat utilizatorii sa nu aiba acces la anumite site-uri sau categorii de continut. In acest mod, accesul la anumite platforme de informatii sau retele de socializare poate fi controlat, monitorizat si blocat.

Prevenirea atacurilor de tip spoofing si cache poisoning este atat in responsabilitatea utilizatorului, cat si a celui care gestioneaza serverul de DNS.

Pentru protejarea serverului de DNS:

  • administratorul poate folosi tool-uri specifice prin care sa detecteze accesul neautorizat la serverul de DNS
  • folosirea standardului DNSSEC (DNS Security) care ofera metode prin care asigura autenticitatea traficului de DNS si previne impersonarea; mai multe detalii despre DNSSEC se pot gasi la adresa de aici (! AI VERIFICAT LINK-UL INAINTE SA IL ACCESEZI? )
  • criptarea end-to-end a traficului de DNS (request-uri si reply-uri) pentru a asigura confidentialitatea protocolului

Pentru protejarea utilizatorului serviciului de DNS:

  • evitarea accesarii link-urilor suspicioase din email-uri, mesaje text, sau cele primite prin aplicatii de mesagerie instanta. Link-urile prescurtate trebuie si ele evitate pentru ca ascund destinatia reala din spate.
  • daca atacul de cache poisoning este bine executat, acesta poate trece neobservat de catre utilizator care se poate infecta intre timp cu malware; scanarea periodica a sistemului cu un software de antivirus poate scoate la iveala pericolele care stau ascunse
  • “curatarea” cache-ului – intrarile in cache-ul de DNS sunt pastrate “a la long” in sistemul de operare; daca aveti suspiciuni ca aveti intrari corupte, cache-ul de DNS se poate curata. Din Command Prompt-ul de Windows se poate executa comanda “ipconfig /flushdns”. Mecanisme specifice exista si pentru celelalte sisteme de operare, inclusiv pentru cele mobile.
  • folosirea unui tunel VPN pentru a cripta request-urile din partea clientului si reply-urile din partea server-ului de DNS de pe premisele organizatiei. Astfel se asigura confidentialitate protocolului.

Atacurile care tintesc protocolul DNS sunt deosebit de periculoase pentru utilizatori intrucat ele pot fi “camuflate” pentru o perioada lunga de timp, simptomele unei astfel de Infectii nefiind specifice unui malware in adevaratul sens al cuvantului. Totodata, un atac de tip spoofing sau cache poisoning poate fi doar primul pas spre un atac mai complex. O buna igiena cibernetica alaturi de unelte potrivite pot combate aceste amenintari si ne pot tine in siguranta.

Mihai Dumitrascu, Sr Systems Engineer