Координационный центр доменов .RU/.РФ (КЦ) сделал доклад о проблемах, связанных с перехватом трафика и подменой имен в Рунете, а также степени реальной угрозы инфраструктуре от перехвата трафика. Выводы вполне позитивные: специалисты считают, что в настоящий момент в российском доменном пространстве нет серьезных угроз, способных нарушить работу веб-ресурсов.
Исследование было поделено на две части. Первая работа посвящена подмене DNS-зон в результате перехвата управления адресацией в доменах второго уровня, размещенных в зонах .RU, .РФ и .SU. Это становится возможным при возникновении ошибок делегирования — отнесения доменных имен к некорректным серверам (NS, name server). В последнее время данная тактика пользуется популярностью у злоумышленников: см. материалы Игра киберпрестолов IX: США иранцев обвиняют, а те только крепчают, и по всему миру DNS угоняют и Атака клонов: 500 миллионов умных устройств уязвимы для атаки DNS rebinding
Как напоминают читателям авторы работы, каждую доменную зону поддерживает собственный набор из двух и более NS. Их контроль организован через сохранение в вышестоящей зоне DNS записи с соответствующими символьными именами. Например, имя test.ru может быть делегировано на серверы ns1.example.com и ns2.example.com. В практике управления доменами встречаются ситуации, когда посторонние лица могут перехватить один или несколько серверов имен. Самый простой способ для приведенного выше примера, это дождаться окончания действия домена example.com и зарегистрировать его на себя. При этом записи делегирования, сохраненные в вышестоящей зоне DNS, при не меняются, и новый администратор получает полный доступ к управлению test.ru и всем его данным.
Риск состоит в том, что на практике в большинстве случаев настройки DNS перед делегированием не проверяются. Неизбежны и опечатки, из-за которых которые ту или иную зону могут ошибочно отнести к «чужому» NS и не замечать ошибку годами.
Согласно расчетам экспертов КЦ, риску неправомерного контроля над именами второго уровня в российских доменах подвержено не более 1% сайтов, т.е. она несерьезна.
Второе исследование, которое провели в КЦ, было посвящено проблеме перехвата электронной почты в результате подмены имен MX-серверов (mail exchanger). Специалисты проанализировали ситуацию в доменах .RU, .РФ, .SU, .MOSCOW, .TATAR, .ДЕТИ, .МОСКВА. В каждой доменной зоне за распределение писем отвечают релеи, прописанные в специальных DNS-записях. Администраторы могут выделить для этой задачи несколько серверов, у каждого из которых будет свой приоритет. Однако в системе есть дырка: если администратор зоны example.com указывает в качестве релея имя mx.exanple.com и если такой узел есть в DNS, то вся входящая почта будет доставляться именно туда. Стало быть, преступнику остается только зарегистрировать домен с нужным названием и разместить в нем MX-запись, чтобы получать почту жертвы.
При всей грозной перспективе такого события, вероятность его наступления, по мнению КЦ, для Рунета, пренебрежительно мала – специалисты признали уязвимыми менее 0,01% доменных имен с почтой. Причина тому: распределение почтовых адресов по различным MX-именам.
Читайте также на АКБ наши предыдущие материалы про DNS и спуфинг:
Троян-кликер выдает себя за программу DynDNS: обманулись тысячи юзеров
Система блокировки дверей в здании PremiSys сдается без боя хакерам
Троянец-банкир Emotet увильнул от антиспуфинга и атакует снова
