Chi tiết lỗi DNS nguy hiểm vô tình bị tiết lộ

Hướng dẫn sử dụng, các thủ thuật, kinh nghiệm liên quan đến phần mềm máy tính

Chi tiết lỗi DNS nguy hiểm vô tình bị tiết lộ

Bài viết mớigửi bởi dungnd » Thứ hai 28 Tháng 7 2008 5:07 pm

(VnMedia) - Nỗ lực che giấu thông tin về lỗi bảo mật DNS nguy hiểm nhằm bảo vệ người dùng của chuyên gia bảo mật Dan Kaminsky đã bất ngờ bị đổ sông đổ biển bởi một hành động "vô tình" của Hãng bảo mật Matasano.

Không những thế tình thế này còn khiến người dùng Internet toàn cầu phải đối mặt với nguy cơ có thể bị tấn công bất kỳ lúc nào.

Vô tình bị tiết lộ

Ngay tại buổi họp báo chính thức công bố lỗi bảo mật DNS, chuyên gia Dan Kaminsky đã đề nghị đồng nghiệp nên kín tiếng không nên để những thông tin về lỗ hổng nguy hiểm được lọt ra ngoài đồng thời cam kết sẽ tiết lộ đầy đủ thông tin chi tiết về lỗi tại Hội nghị bảo mật Black Hat sẽ được tổ chức ngày 6/8.

Nhưng rất tiếc đã có một số chuyên gia lại xem lời đề nghị của Kaminsky như một lời thách thức khả năng của họ. Thomas Dullien - Giám đốc điều hành (CEO) Zynamics.com - là một người như thế.

Và Dullien đã thành công trong việc phát hiện ra lỗi. Đáng tiếc những phát hiện của CEO Zynamics.com lại được Hãng bảo mật Matasano xác nhận và cho đăng tải trực tiếp toàn bộ thông tin chi tiết lên website chính thức ngày 22/7 vừa qua chỉ với mục đích cảnh báo cộng đồng người dùng.

Hãng bảo mật Matasano không thể ngờ rằng ý tốt của họ lại trở thành một hành động phá hoại mọi nỗ lực của chuyên gia Kaminsky. Nhưng rất may hãng đã kịp phát hiện sai lầm cho cho gỡ bỏ chỉ khoảng 5 phút sau khi bài viết xuất hiện trên trang.

Nhưng từng đó thời gian cũng đã đủ để nó được sao chép lại và xuất hiện trên hàng loạt trang blog trên toàn thế giới.

Matasano sau đó đã phải lên tiếng gửi lời xin lỗi đến chuyên gia nghiên cứu bảo mật Dan Kaminsky - người đã phát hiện ra lỗi bảo mật DNS nguy hiểm này và cam kết không tiết lộ bất kỳ thông tin nào chừng nào lỗi chưa được khắc phục đầy đủ.

"Chúng tôi rất lấy làm tiếc. Chúng tôi đã gỡ bỏ bài viết ngay sau khi phát hiện. Nhưng không may chỉ cần vài giây là đã đủ cho những thông tin này được phát tán rộng khắp trên mạng Internet".

Dan Kaminsky đã phải hợp tác với một liên minh các hãng công nghệ hàng đầu thế giới như Microsoft, Cisco, Internet Systems Consortium (ISC) ... trong nhiều tháng trời để tìm giải pháp khắc phục lỗi. Nhưng sự vô tình đáng tiếc của Matasano dường như đã phá hỏng tất cả, người dùng đang phải đối diện với nguy cơ bị tấn công rõ ràng hơn bất kỳ lúc nào.

Đơn giản bởi mặc dù bản sửa lỗi đã được phát hành nhưng cần phải có nhiều thời gian thì nó mới được triển khai rộng rãi. Nếu thông tin về lỗi không được tiết lộ sớm giúp mã khai thác xuất hiện sớm thì người dùng còn được an toàn để từng bước tìm kiếm và khắc phục mọi sơ hở trong hệ thống.

Nhưng nay khi mọi thứ đều đã bị phơi bày ra ánh sáng thì chắc chắc hacker sẽ khó có thể bỏ qua một lỗi bảo mật "ngon ăn" như thế này. Nếu khai thác thành công thì có thể nói tỉ lệ thành công trong các vụ tấn công lừa đảo của chúng sẽ có thể được nâng lên tới một con số không tưởng.

Xuất hiện ngay mã khai thác lỗi

Chỉ đúng một ngày sau khi Matasano tiết lộ thông tin chi tiết về lỗi DNS, hacker đã phát triển thành công mã khai thác và phát tán rộng rãi trên mạng Internet. Người phát tán là nhóm phát triển công cụ hacking Metasploit.

Chuyên gia nghiên cứu bảo mật HD Moore - người đứng đầu nhóm hacker phát triển công cụ Metasploit - cho biết mã khai thác được ông chia làm hai phần cho công bố trong hai ngày liên tiếp - ngày 23 và 24/7 - thông qua một loạt các danh sách email cập nhật thông tin bảo mật và website chính thức của Computer Academic Underground.

Andrew Storms - Giám đốc phụ trách bảo mật của nCircle Network Security Inc. - cho biết hai phần mã khai thác được HD Moore tiết lộ thực chất là hai mã khai thác có tính chất giống hệt nhau. Cả hai mã này đều có thể "đầu độc" máy chủ DNS đảm nhiệm chức năng phân giải tên miền thành địa chỉ IP, giúp tin tặc thay thế địa chỉ IP hợp pháp thành bất kỳ địa chỉ nào mà chúng muốn.

Cụ thể, mã khai thác phát hành ngày 23/7 có thể cho phép hacker đầu độc máy chủ DNS tấn công trực tiếp vào một tên miền duy nhất. Trong khi đó, mã khai thác xuất hiện ngày hôm sau đã tăng số lượng tên miền có thể bị tấn công cùng một lúc trên máy chủ DNS lên một con số rất lớn.

"Theo tôi, sự xuất hiện của mã khai thác ngày 24/7 đồng nghĩa với việc có thể có đến hàng nghìn địa chỉ IP giả mạo được chèn trong trong bộ nhớ đệm của máy chủ DNS. Rõ ràng đây là một mã rất nguy hiểm và có tác động thực sự rất lớn".

HD Moore cho biết mã khai thác ngày 23/7 có thể cho phép hacker dễ dàng che giấu nguồn gốc xuất phát vị trí tấn công hơn. Trong khi đó, mã khai thác ngày 24/7 yêu cầu hacker phải có trong tay một máy chủ DNS thực sự. "Điều này đồng nghĩa với việc sẽ khó che giấu nguồn gốc khởi phát vụ tấn công sẽ khó khăn hơn rất nhiều. Chỉ cần dò lại nguồn gốc của các lệnh truy vấn DNS là giới bảo mật hoàn toàn có thể lần ra vị trí của kẻ tấn công".

Ông Storm khẳng định hình thức tấn công trực tiếp vào máy chủ DNS là một kiểu tấn công rất khó bị phát hiện. "Rất khó có thể lần ra được người dùng nào đang truy cập vào website ngân hàng trực tuyến để đưa ra cảnh báo cho họ biết. Làm thế nào có thể đào bới trong một lượng dữ liệu khổng lồ do máy chủ DNS đã tạo ra để lần ra đầu mối vụ tấn công".

Zulfikar Ramizan - Giám đốc kỹ thuật của Hãng bảo mật Symantec - khẳng định nếu khai thác thành công lỗi bảo mật này hacker có thể bí mật chuyển hướng truy cập của người dùng đến bất kỳ website nào mà chúng mong muốn.

Ví dụ phát hiện người dùng truy cập vào một website ngân hàng trực tuyến tin tặc sẽ chuyển hướng họ đến một website lừa đảo trực tuyến nhằm ăn cắp tài khoản cá nhân của họ đã mở tại ngân hàng đó.

"Điểm nguy hiểm ở đây là người dùng gần như không phát hiện được bất kỳ điều gì khác thường diễn ra trên PC của họ. Không giống như những vụ tấn công lừa đảo trực tuyến khác, người dùng đôi khi còn có thể phát hiện được dần giả mạo, còn với hình thức tấn công này mọi chuyện đều diễn ra trên máy chủ."

95% máy chủ DNS của Việt Nam mắc lỗi

Rõ ràng đây là một lỗi cực kỳ nguy hiểm có ảnh hưởng rộng khắp trên phạm vi toàn cầu. Việt Nam cũng không là một ngoại lệ. Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cũng đã phát đi bản tin cảnh báo tới hơn 150 tổ chức có liên quan trong nước.

Theo VNCERT, hacker sẽ chủ yếu nhắm đến các máy chủ DNS có đặc điểm sau đây: Phục vụ nhiều người dùng, có chức năng "recursive" và lưu giữ kết quả, chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn của một tên miền duy nhất, sử dụng 1 port nguồn (UDP hay TCP) cố định và duy nhất cho tất cả các request, không kiểm tra chặt chẽ tính chính xác và logic của phần thông tin thêm trong các DNS reply trả về.

Ước tính trên 95% DNS server của Việt Nam mắc phải điểm yếu này.

VNCERT khuyến cáo các nhà cung cấp dịch vụ Internet (ISP), lưu trữ website, cá nhân, tổ chức có sở hữu và quản lý máy chủ DNS nên thường xuyên theo dõi và cập nhật ngay lập tức các bản vá dịch vụ DNS đang sử dụng trên các máy chủ DNS.

Thứ đến là phải kiểm tra, rà soát và khắc phục khẩn trương các đặc điểm của máy chủ DNS mà tin tặc đang lợi dụng để tấn công; tăng cường theo dõi, thống kê và có kế hoạch phản ứng thích hợp khi phát hiện dấu hiệu tấn công - ví dụ tăng vọt số lượng DNS request đồng thời của một tên miền hay người dùng thông báo các hiện tượng lạ; xem xét giảm thời gian lưu giữ tạm thời các bản ghi trên cache máy chủ DNS.

Còn đối với người dùng thông thường, VNCERT khuyến cáo nên cập nhật đầy đủ các bản vá của hệ điều hành, phần mềm diệt virus và tăng cường phòng bị trong thời gian tới.

Hiện hầu hết các hãng đều đã phát hành bản cập nhật sửa lỗi. Tốt nhất người dùng nên bật tính năng tự động cập nhật của tất cả các ứng dụng từ hệ điều hành, phần mềm trình duyệt, phần mềm bảo mật ... để ứng dụng tự động cập nhật tất cả các bản sửa lỗi cần thiết.

Chuyên gia Dan Kaminsky còn đầu tư thời gian xây dựng hẳn một website tại địa chỉ http://www.doxpara.com có chức năng giúp người dùng kiểm tra xem liệu máy tính của họ có mắc lỗi DNS như trên hay không. Chỉ cần truy cập vào website này và nhấn nút "Check my DNS", trong vài giây bạn sẽ có được câu trả lời.


Hoàng Dũng
"Mỗi ngày tôi chọn một niềm vui..."
Hình đại diện của thành viên
dungnd
Site Admin
Site Admin
 
Bài viết: 1528
Ngày tham gia: Thứ bảy 29 Tháng 4 2006 5:40 am
Đến từ: 60 Lê Hữu Trác - Đà Nẵng

Gần 8.000 website .vn bị tê liệt vì haker

Bài viết mớigửi bởi dungnd » Thứ hai 28 Tháng 7 2008 5:10 pm

Sáng 27/7, các tên miền quan trọng của PAvietnam, nhà cung cấp dịch vụ hosting lớn tại Việt Nam, đã bị hacker chiếm quyền điều khiển, khiến khoảng 8.000 website khách hàng đang sử dụng máy chủ tên miền của PAvietnam bị tê liệt.

Hình ảnh
Máy chủ tên miền DNS mà pavietnam.com sử dụng đã bị hacker đổi sang địa chỉ dns-diy.net. (Ảnh chụp màn hình)



Hiện tại địa chỉ PAvietnam.com đã bị hacker chuyển hướng truy cập sang báo điện tử VNExpress. Website 5giay.com, một trang mua bán trực tuyến khá sôi động và là khách hàng hosting của PAvietnam.com, cũng bị hacker chuyển hướng truy cập sang website yahoo.com.vn.

Ba tên miền quan trọng của PAvietnam là PAvietnam.net, PAvietnam.com và dotvndns.com đều đã bị hacker giành quyền điều khiển, chuyển quyển đổi từ nhà quản lý tên miền quốc tế ENOM sang một nhà quản lý khác là onLINENIC.


Khoảng 8.000 website nói trên hiện sử dụng dịch vụ máy chủ tên miền của PAvietnam là ns*.pavietnam.net (* là các giá trị 1,2,3...) đều bị tê liệt, do các máy chủ tên miền này không thể trả về địa chỉ IP chính xác. Hiện tên miền PAvietnam.com đã bị hacker chuyển sang sử dụng máy chủ tên miền dns-diy.net.

Hiện có khoảng 1155 tên miền dùng host tại server PAVietnam.com, và 5456 tên miền dùng host tại server PAVietnam.net. Phần lớn trong số này là các tên miền .com.vn và .vn của các doanh nghiệp, tổ chức tại Việt Nam.


Người quản trị (webmaster) của các website khách hàng cũng không thể truy cập vào PAvietnam.net hay PAvietnam.com để chỉnh sửa các thông tin điều khiển tên miền của mình (change DNS). Toàn bộ tên miền các website khách hàng hiện đều bị hacker kiểm soát, và có thể điều hướng truy cập tới bất kỳ trang web độc hại nào.


Hiện PAvietnam đã xác nhận thông tin bị hack các tên miền quan trọng và báo cáo về Trung tâm ứng cứu sự cố máy tính khẩn cấp Việt Nam (VNCERT) của Bộ Thông tin & Truyền thông. PAvietnam cũng đang hướng dẫn các khách hàng của mình chuyển sang sử dụng hệ thống hosting và quản lý tên miền qua địa chỉ PAvietnam.vn.


Một số nhận định ban đầu của chuyên gia bảo mật trong nước cho biết có khả năng thủ phạm vụ hack tên miền của PAvietnam là hacker trong nước (hoặc biết tiếng Việt), vì 2 địa chỉ điều hướng PAvietnam.com và 5giay.com đều trỏ tới các website tiếng Việt là VNExpress và Yahoo Việt Nam.

Hiện chưa có bằng chứng nào cho thấy việc PAvietnam bị hack tên miền thông qua lỗi tấn công máy chủ DNS đang đe dọa mạng Internet toàn cầu, nhưng cũng không thể loại trừ khả năng này.


(Theo VietnamNet)
"Mỗi ngày tôi chọn một niềm vui..."
Hình đại diện của thành viên
dungnd
Site Admin
Site Admin
 
Bài viết: 1528
Ngày tham gia: Thứ bảy 29 Tháng 4 2006 5:40 am
Đến từ: 60 Lê Hữu Trác - Đà Nẵng


Quay về Phần mềm

Đang trực tuyến

Đang xem chuyên mục này: Không có thành viên nào trực tuyến.0 khách.

cron