Praha, 8. srpna - Možnosti zneužití systému doménových jmen DNS jsou po včerejšku daleko reálnější. Ve čtvrtek skončená mezinárodní hackerská konference BlackHat USA 2008 přinesla bližší detaily k bezpečnostní mezeře v DNS a k novým možnostem jejího zneužití. Řešení problému může významně přispět zavedení technologie DNSSEC do DNS. Ta je v tuto chvíli v plném provozu v pěti zemích světa. V České republice ji od dubna tohoto roku testuje sdružení CZ.NIC. Na září je plánováno její ostré spuštění v doménách .CZ a ENUM. Sdružení CZ.NIC všem provozovatelům internetových služeb doporučuje její implementaci.

Mezera v bezpečnosti systému DNS umožňuje útočníkovi podvrhnout libovolnou číselnou adresu kteréhokoliv doménového jména a díky tomu přesměrovat jejího uživatele na falešnou internetovou stránku. V ohrožení je tak prakticky naprostá většina internetových služeb jako on-line bankovnictví, média či e-shopy. Kromě toho může útočník odposlouchávat e-maily nebo wtelefonní hovory vedené přes internet.

Tento princip napadení DNS byl známý již dříve. Na konferenci zveřejněný způsob útoku ovšem celý proces zásadně zjednodušuje, a výrazně tak zvyšuje pravděpodobnost úspěšného útoku.

„Jedná se o jednu z nejzávažnějších chyb v protokolu DNS. DNS jedním ze základních pilířů dnešního Internetu, proto by se neměl dopad této chyby podceňovat. Konference dokázala, že neaktualizovaný server je možné napadnout v řádu několika sekund. Pokud ti, kteří se starají o DNS servery, dosud neprovedli update svých systémů, mají nejvyšší čas tak udělat,“ upozorňuje Ondřej Surý, technický ředitel sdružení CZ.NIC a dodává: “Sdružení CZ.NIC pracuje na zvýšení bezpečnosti služby DNS a připravuje zavedeni technologie DNSSEC do domén .CZ. V září, kdy bude se DNSSEC spustí naostro, se Česká republika zařadí mezi první státy světa, které již mají k dispozici takovou úroveň bezpečnosti.“

Více informací o samotném útoku najdou zájemci na internetových stránkách Dana Kaminského www.doxpara.com a na stránkách konference BlackHat. Na nutnou ochranu DNS upozorňuje také sdružení CZ.NIC na své internetové adrese www.nic.cz nebo na blogu sdružení. Zde najdou zájemci i technický komentář popisující možnosti napadení DNS serveru a zneužití informaci, které jsou v nich uložené.

O technologii DNSSEC

DNSSEC je rozšíření systému DNS, které zvyšuje bezpečnost služby doménových jmen. Principem DNS je překlad jmenných internetových adres, jako například www.nic.cz nebo www.dobradomena.cz, na adresy číselné, kterým počítače rozumějí a jejichž pomocí dokážou zajistit zobrazování webových stránek, odesílání e-mailů, telefonování po internetu a další běžné internetové služby. DNSSEC zvyšuje bezpečnost při používání DNS tím, že brání podvržení falešných, pozměněných či neúplných údajů o doménových jménech. Sdružení CZ.NIC, jako správce registru domén .CZ a ENUM, připravuje zavedení této bezpečnostní technologie pro držitele těchto domén a uživatele českého internetu v září roku 2008. Více informací na internetové adrese www.nic.cz/dnssec/.