Nowa niebezpieczna technika ataku
Naukowcy z Georgia Institute of Technology we współpracy ze specjalistami Google badają nową, niewykrywalną technikę ataku. Pozwala ona cyberprzestępcom zdecydować, jakie witryny odwiedza internauta.
Dokładne raport z wynikami badań zostanie opublikowany w lutym. Już teraz wiadomo, ze chodzi o wykorzystanie otwartych rekursywnych serwerów DNS. Specjaliści oceniają, że w sieci znajduje się około 17 milionów tego typu serwerów. Komputery korzystają z serwerów DNS wówczas, gdy np. wpiszemy do przeglądarki adres www.kopalniawiedzy.pl. Nasz pecet zapyta wówczas serwera DNS o numer IP naszego serwisu i otrzyma odpowiedź, że jest to 78.46.34.8. Otwarte rekursywne serwery DNS są, w przeciwieństwie do innych typów DNS, skonfigurowane tak, żeby odpowiadały na zapytania z każdego komputera. To czyni je szczególnie przydatnymi dla cyberprzestępców.
Specjaliści z Georgia Tech i Google oceniają, że 0,4 proc., czyli 68 000, otwartych rekursywnych DNS-ów zwraca fałszywe wyniki. Istnieją też poważne wątpliwości co do 2 proc. innych serwerów, które mogą zwracać nieprawdziwe wyniki. Oznacza to, ze w sieci istnieje kilkaset tysięcy serwerów DNS, które mogą kierować użytkownika na niewłaściwe strony. Mogą one być np. skonfigurowane w ten sposób, że na pytanie o jakikolwiek adres, nieważne czy będzie to www.kopalniawiedzy.pl czy www.google.com, skierują użytkownika na witrynę, która będzie próbowała zainstalować szkodliwe oprogramowanie, czy zasypie nas reklamami.
Ataki na serwery DNS nie są niczym nowym, jednak ostatnio bardzo się rozpowszechniły, a cyberprzestępcy opracowali nową, bardzo skuteczną technikę ataku.
Specjaliści przedstawiają teoretyczny scenariusz takiego ataku. Wystarczy by ofiara odwiedziła szkodliwą witrynę lub otworzyła szkodliwy załącznik, który wykorzysta dziurę w jej komputerze. Wystarczy wówczas, że zostanie zmieniona niewielka część rejestru systemu Windows, a zarażony komputer zawsze będzie korzystał ze wskazanego przez przestępców serwera DNS.
Gdy już to się stanie, internauta może być zwykle kierowany na prawdziwe strony internetowe. Jednak w wybranym momencie, np. gdy będzie chciał skorzystać ze swojego banku, zostanie przekierowany na witrynę fałszywego banku, dzięki czemu cyberprzestępcy zdobędą wszelkie dane dotyczącego jego konta i dostępu do niego. Jako że atak zostanie przeprowadzony na poziomie serwera DNS, systemy antyphishingowe nie ostrzegą użytkownika o przeprowadzonym ataku. Eksperci mówią, że w ciągu najbliższych miesięcy powinniśmy spodziewać się wzrostu tego typu ataków. Już w tej chwili w sieci istnieje co najmniej 2100 witryn WWW, które próbują zarazić komputery internautów szkodliwym kodem.
