Sondaggio: un server DNS su 10 è "banalmente vulnerabile"

Più del 10% dei server DNS (Domain Name System) di Internet sono ancora vulnerabili agli attacchi di avvelenamento della cache, secondo un'indagine mondiale sui server dei nomi pubblici di Internet.

Ciò nonostante sono passati diversi mesi da quando le vulnerabilità sono state rivelate e le correzioni rese disponibili, ha detto l'esperto DNS Cricket Liu, la cui società, Infoblox, ha commissionato il sondaggio annuale.

"Stimiamo che ci siano 11,9 milioni di nameserver e oltre il 40% consenta la ricorsione aperta, quindi accettano query da chiunque. Di questi, un quarto non è corretto, quindi ci sono 1,3 milioni di nameserver che sono banalmente vulnerabili ", ha detto Liu, che è vicepresidente dell'architettura di Infoblox.

[Ulteriori letture: Come rimuovere il malware dal tuo vento ows PC]

Altri server DNS potrebbero consentire la ricorsione, ma non sono aperti a tutti, quindi non sono stati rilevati dal sondaggio, ha detto.

Liu ha detto che la vulnerabilità di avvelenamento della cache, che viene spesso chiamata dopo Dan Kaminsky, il ricercatore per la sicurezza che ha pubblicato i dettagli a luglio, è genuino: "Kaminsky è stato sfruttato in pochi giorni dopo essere stato reso pubblico", ha detto.

I moduli mirati alla vulnerabilità sono stati aggiunti allo strumento di test di hacking e penetrazione Metasploit, per esempio. Ironia della sorte, uno dei primi server DNS compromesso da un attacco di avvelenamento della cache è stato utilizzato dall'autore di Metasploit, HD Moore.

Per ora, l'antidoto al difetto di avvelenamento della cache è la casualità della porta. Inviando query DNS da diverse porte sorgente, questo rende più difficile per un utente malintenzionato indovinare quale porta inviare dati avvelenati a

Tuttavia, questa è solo una correzione parziale, Liu ha avvertito. "La randomizzazione del porto mitiga il problema, ma non rende impossibile un attacco", ha affermato. "In realtà è solo un ostacolo sulla strada del controllo crittografico, che è quello che fanno le estensioni di sicurezza DNSSEC.

" DNSSEC impiegherà molto più tempo per essere implementato, dato che c'è molta infrastruttura coinvolta - chiave gestione, firma delle zone, firma delle chiavi pubbliche e così via. Abbiamo pensato che potremmo assistere a una notevole diffusione dell'adozione di DNSSEC quest'anno, ma abbiamo visto solo 45 record DNSSEC su un milione di campioni. L'anno scorso ne abbiamo visti 44. "

Liu ha detto che sul lato positivo, il sondaggio ha rivelato diversi elementi di buone notizie. Ad esempio, il supporto per SPF - il framework delle politiche mittente, che combatte lo spoofing della posta elettronica - ha aumentato negli ultimi 12 mesi dal 12,6% delle zone campionate al 16,7%.

Inoltre, il numero di sistemi Microsoft DNS Server non sicuri connessi a Internet è sceso dal 2,7% del totale allo 0,17%. questi sistemi potrebbero essere ancora in uso all'interno delle organizzazioni, ma l'importante è che "la gente si allontani dal collegarli a Internet".

Guardando avanti, Liu ha detto che solo le organizzazioni con necessità specifiche di DNS ricorsivo aperto i server - e la capacità tecnica di impedire che vengano inondati - dovrebbero eseguirli.

"Mi piacerebbe vedere la percentuale di server ricorsivi aperti andare giù, perché anche se sono patchati fanno ottimi amplificatori per la negazione -servizi di servizio ", ha detto." Non possiamo sbarazzarsi dei server ricorsivi, ma non è necessario consentire a chiunque di usarli. "