Поддержать TUT.BY
142 дня за решеткой. Катерина Борисевич
Коронавирус: свежие цифры
  1. «Не надо изобретать велосипед». Минский архитектор показал, как выглядит его загородный дом
  2. «Джинн злобно загоняется в бутылку». Большое интервью с многолетним журналистом президентского пула
  3. Налоговики создадут «супербазу» доходов населения. Какую информацию включат в нее
  4. «Этот магазин для всех». В Минске открывается гастромаркет FishFood, где закупаются рестораны
  5. В Беларуси хотят разрешить создавать партии только постоянно проживающим в стране гражданам
  6. В Мингорисполком подана заявка на проведение «Чернобыльского шляха»
  7. В Беларуси не хватает более 2 тысяч врачей и столько же — медсестер. В Минтруда рассказали про дефицит специалистов
  8. Врач объясняет, откуда берется шум в ушах и как от него избавиться
  9. Что сейчас происходит между Россией и Украиной и при чем тут Беларусь: поясняем простыми словами
  10. Последняя официальная статистика по коронавирусу в Беларуси: за сутки умерло 10 человек
  11. С осторожным оптимизмом. Как безвизовый Гродно, потерявший туристов и деньги, ждет новый сезон
  12. Глава Минска задумался об отказе от участков под паркинги у МКАД. И вот почему он прав
  13. Полчаса процедуры, два дня страданий. Как я сделала прививку от коронавируса
  14. «Радость — лучшее лекарство». Витебский бизнесмен начал рисовать 3 года назад, когда заболел раком
  15. «Папа сказал: «Будешь делить имущество — ты мне не дочь. Я крысу не растил». Интервью с Таис Рыбакиной
  16. Закроем наши посольства там, где они не приносят отдачи? С кем мы успешно торгуем, а с кем — просто дружим
  17. Оценивает по походке. История бывшего балетмейстера, который в 74 года работает фитнес-тренером
  18. За прошлый год белорусов стало меньше на 60 тысяч
  19. Пассажиры автобуса, которых не пустили в Украину из-за поддельных ПЦР-тестов, рассказали подробности
  20. Какие курсы доллара и евро установили обменники на выходные
  21. История одного фото. Как машинист метро и его коллеги помогали пассажирам после взрыва 11 апреля 2011 года
  22. Прокурор: Протесты в Беларуси начались и из-за блогеров из Бреста. Обвиняемых лишили слова в суде
  23. Умер муж королевы Великобритании принц Филипп. Ему было 99 лет
  24. Роман одного из самых известных белорусских писателей отправили на экспертизу
  25. Топ-10 самых популярных подержанных авто в стране. Какие на них цены?
  26. В Украину не пустили автобус из Беларуси: у всех 35 пассажиров — поддельные справки о ПЦР-тестах
  27. «У Лукашенко нет опоры в госаппарате». Латушко рассказал про новые санкции и транзит власти
  28. МВД прокомментировало жалобы на условия в ИВС на Окрестина и в Жодино и показало видео из изолятора
  29. Доски стали «золотыми»: пиломатериалы подорожали в два раза. Разбираемся, что происходит
  30. «Затеял игру в президентство». В суде над Бабарико допросили свидетеля в наручниках и озвучили жалобы


Изображение с сайта www.cybersecurity.ruВ течениe минувших суток в системе интернет-адресации была ликвидирована фундаментальная ошибка, эксплуатация которой позволяла злоумышленникам подделывать адреса веб-сайтов. Данная ошибка касалась общей реализации системы доменных имен, а потому потребовала скоординированного действия всех разработчиков серверного программного обеспечения.
 
Владельцы Windows-, Linux-, Unix– и Mac-серверов уже могли обратить внимание на то, что для их систем cо вчерашнего вечера доступна новая версия используемого DNS-сервера (например Bind). Выпустили обновления и крупные вендоры сетевого оборудования, такие как Cisco.

Ошибка, в результате которой пришлось "пропатчить интернет", на техническом сленге именуется, как "отравление DNS-кэша". На практике она позволяет подменить ряд записей в DNS-серерверах таким образом, что бы при наборе какого-либо привычного адреса сайта, например www.cybersecurity.ru, пользователь отправлялся прямиком на сайт хакеров. Та же опасность касается и трафика электронной почты. Ситуация осложняется тем, что данный баг является в чистом виде серверным, а потому как-либо защититься от него с рабочего компьютера невозможно.

Данная фундаментальная уязвимость была обнаружена еще в прошлом году экспертом компании IO Active Дэном Камински, однако ввиду ее особой опасности сам Камински и IO Active предоставили данные о ней только легитимным разработчикам софта, а широкая общественность лишь знала о факте некой "серьезной" уязвимости в DNS.

На практике при помощи данной ошибки злоумышленник, при наличии определенных знаний и сноровки мог перенаправить весь трафик с какого-либо домена, например google.com, на сторонние серверы, в результате чего все закрытые данные, передаваемые легальному сайту, оказывались в полном распоряжении злоумышленников.

Сам Дэн Камински рассказывает, что когда ему удалось обнаружить указанную уязвимость, то вначале он сообщил об этом в листы рассылки US CERT (U.S. Computer Emergency Readiness Team), а также в несколько крупных компаний, производящих системное программное обеспечение. Понимая серьезность ситуации, все осведомленные стороны согласились держать имеющиеся у них данные в секрете. В итоге в марте этого года в штаб-квартире Microsoft состоялась встреча 16 ведущих мировых вендоров, где был выработан план по исправлению ошибки, а также утвержден график выпуска патчей или новых версий серверного ПО.

Вчера вечером Microsoft вместе с традиционным ежемесячным набором исправлений, выпускаемым в первый вторник каждого месяца, обновила систему управления доменными именами в серверных Windows. Свои патчи получили и пользователи оборудования Cisco. Также вчера на сайте Internet Systems Consortium была опубликована и новая версия системы Bind, одновременно с этим вышли новые версии этого пакета для крупнейших Linux-систем: Red Hat, Suse, Mandriva, Ubuntu и других.

Сам Камински говорит, что несмотря на серьезность ошибки, ему не удалось обнаружить в сети случаи использования данной проблемы. "Вендоры достигли соглашения, по которому изменения, внесенные с серверы, практически не затрагивают работу существующих инфраструктур, но минимизируют возможность использования уязвимости", – говорит он.

Несколько поясним суть ошибки. Вся работа глобальной сети фактически зависит от работы доменной системы. Основная задача системы доменных имен (DNS) заключается в преобразовании буквенных доменов в их числовые аналоги или ip-адреса. Система фактически работает в две стороны – то есть транслирует домены в ip-адреса и наоборот. В глобальной сети существуют около 200 000 средних и крупных DNS-серверов, обслуживающих миллионы пользователей однако вся доменная архитектура организована по цепочке, то есть разрешение имен идет от корневых серверов, но каждый DNS-сервер имеет свой головной сервер, с которого он получает необходимые для работы данные о доменах и ip-адресах.

Вот в этом-то механизме и кроется ошибка. Механизм передачи доменной информации и ее идентификация являются слабым звеном всей системы DNS. Подчиненный сервер не может определить, являются выданные на его запросы DNS-разрешения легальными данным с авторитативного сервера или это сгенерированные хакером поддельная информация. Для идентификации DNS-пакеты используют случайные идентификационные номера, но проблема в том, что этих "случайных" номеров, используемых как идентификаторы, всего 65 000. Более того, у каждого сервера есть определенная последовательность создания "случайных" запросов, поэтому злоумышленник может подделать "случайный номер" и подать DNS-серверу неверную информацию о доменах и соответствующих им адресах.

Старший программный менеджер Internet Systems Consortium Джоа Дамас говорит, что разработчикам DNS-серверов пришлось пересмотреть механизм генерации "случайных номеров", чтобы снять лимит в 65 000 последовательностей, а кроме того, добавить защитные механизмы, позволяющие серверу быстро "забыть" некорректные данные.


-25%
-30%
-5%
-30%
-20%
-12%