АБРАКАДАБРА (Тоже самое но в читаемом виде)
Issledovateli Google preduprejdaut o novix tipax atak
Robert Makmillan, Slujba novostey IDG, San-Francisko
Issledovateli iz kompanii Google i Texnologi4eskogo instituta Djordjii zanati izu4eniem fakti4eski ne poddau6eysa obnarujeniu formi ataki, vo vrema kotoroy jertvi postoanno podvergautsa skritomu kontrolu 4erez Internet.
Avtori opublikovannix v fevrale rezul'tatov issledovania re6ili obratit' osoboe vnimanie na serveri DNS s "otkritoy rekursiey", blagodara kotorim komp'uteri osu6estvlaut preobrazovanie domennix imen Internet (naprimer, google.com) v 4islovie adresa IP. Prestupnie elementi ispol'zuut eti serveri dla razrabotki novix texnologiy organizacii atak fi6inga.
Po ocenkam issledovateley, v Internet segodna imeetsa 17 mln. otkritix rekursivnix serverov DNS. Podavlau6ee bol'6instvo iz nix predostavlaet to4nuu i legitimnuu informaciu. V otli4ie ot drugix serverov DNS otkritie rekursivnie sistemi otve4aut na luboy zapros, postupau6iy ot lubogo komp'utera v Internet. Blagodara dannoy osobennosti serveri podobnogo roda stanovatsa lakomim kuskom dla xakerov.
«Taynaa avtorizacia»
Issledovateli iz Google i Texnologi4eskogo instituta Djordjii polagaut, 4to fal'6ivie adresa v otvet na zaprosi DNS vozvra6aut poradka 68 tis. ili 0,4% ot ob6ego 4isla otkritix rekursivnix serverov DNS. E6e okolo 2% vozvra6aut rezul'tati, vizivau6ie voprosi. V sovokupnosti eti serveri obrazuut "vtoroy, tayniy organ avtorizacii" DNS, podrivau6iy doverie k Internet v celom.
"U dannogo prestuplenia imeetsa neskol'ko priznakov, - otmetil issledovatel' iz Texnologi4eskogo instituta Djordjii Devid Degon, prinimav6iy u4astie v napisanii ot4eta. - Eti serveri vedut seba podobno zazivalam na armarke. Pri4em nezavisimo ot togo, 4to vi u nix zapra6ivaete, oni s radost'u napravlaut vas v kakoy-nibud' somnitel'niy magazin ili na Web-server, gde net ni4ego, krome arkoy reklami, ot kotoroy razbegautsa glaza".
V atakax na sistemu DNS net ni4ego novogo, i kiberprestupniki podmenaut ustanovki DNS na komp'uterax jertv na protajenii uje po krayney mere 4etirex let. No li6' nedavno zloumi6lenniki viveli svou texnologiu na takoy uroven', kotoriy pozvolaet im postavit' ataki na potok. Esli v pervix atakax podobnogo roda vnesenie neobxodimix izmeneniy v ustanovki osu6estvlalos' s pomo6'u virusov, to teper' ataki osnovani na primenenii vredonosnogo programmnogo obespe4enia (malware) na baze Web-texnologiy.
Sumki vmesto poiska
Itak, kakov je mexanizm provedenia ataki? Jertva zaxodit na destruktivniy Web-sayt ili otkrivaet prisoedinennuu vredonosnuu programmu, kotoraa ispol'zuet bre6' v sisteme bezopasnosti komp'utera. Posle etogo atakuu6ie menaut vsego li6' odin fayl v ustanovkax reestra Windows, ukazivaa PK, 4to za informaciey DNS on doljen obra6at'sa na server kiberprestupnikov. Esli bre6' v sisteme bezopasnosti ne bila svoevremenno zakrita antivirusnoy programmoy, atakuu6iy ustanovit nad komp'uterom jertvi kontrol', kotoriy fakti4eski ne poddaetsa obnarujeniu.
Izmeniv ustanovki Windows, prestupniki v bol'6instve slu4aev napravlaut jertvu imenno na te Web-sayti, k kotorim ona obra6aetsa, no v luboy moment (naprimer, vo vrema seansa obmena informaciey s bankom) ix mojno podmenit' fal'6ivim serverom. Poskol'ku ataka osu6estvlaetsa na urovne DNS, antifi6ingovoe programmnoe obespe4enie ne signaliziruet o perexode na poddel'niy sayt.
Pri jelanii atakuu6iy mojet polu4it' polniy kontrol' nad vsemi operaciami jertvi v Internet. "Naprimer, zaprosiv server Google.com, vi okajetes' na kitayskom sayte, predlagau6em bagajnie sumki", - poasnil Degon.
"Eto deystvitel'no o4en' xoro6o zamaskirovannaa potaynaa dver', - priznal texni4eskiy direktor podrazdelenia IBM Internet Security Systems Kris Rulan. - I daje ispol'zua vse mnogo4islennie sredstva, razvernutie na predpriatii, vi ne naydete ee".
Nayti i obezvredit'
V blijay6ie neskol'ko mesacev Rulan prognoziruet uveli4enie 4isla atak na DNS s saytov Web 2.0. Delo v tom, 4to dannie sayti akkumuliruut Web-stranici, postupiv6ie iz mnojestva razli4nix isto4nikov. I nekotorie iz etix isto4nikov vpolne mogut okazat'sa nenadejnimi. Takim obrazom, mi stanovimsa svidetelami poavlenia novogo pokolenia mexanizmov fi6inga.
Predvaritel'nie issledovania, provedennie komandoy Degona, pokazivaut, 4to Web predstavlaet soboy vajnoe napravlenie dla organizacii podobnix atak. Zadeystvovav set' poiskovix ma6in Google, issledovateli obnarujili bolee 2100 Web-stranic, na kotorix prisutstvoval kod, vnosiv6iy na ma6inax posetiteley sayta izmenenia v reestr Windows.
Ot4et, podgotovlenniy pod zagolovkom Corrupted DNS Resolution Paths, planiruetsa predstavit' ob6estvennosti na simpoziume Network and Distributed System Security Symposium (NDSS), kotoriy budet proxodit' v San-Diego. Ego avtorami avlautsa star6iy injener Google Nil's Provos, a takje predstaviteli Texnologi4eskogo instituta Djordjii Kris Li i Uinki Li.
V pro6lom godu Degon i Uinki Li osnovali kompaniu Damballa, zanimau6uusa poiskom putey za6iti ot atak podobnogo roda.
Kompania Damballa, pozicioniruu6aa seba v ka4estve postav6ika mexanizmov bor'bi s destruktivnimi setevimi robotami, predlagaet identificirovat' podkontrol'nie zloumi6lennikam ma6ini putem proverki togo, obra6autsa li oni k ranee viavlennim vredonosnim serveram DNS.
osp.ru/news/articles/2007/46/4606988/ | 