Web-sisällön esitys

DNS-palvelun turvattomuus

Tyypillisesti organisaatioiden tietoturvavastaavat ovat varsin valveutuneita haittaohjelmia levittävien sähköpostien ja haitallisen http-liikenteen suhteen. Usein kuitenkin pienet asiat voivat jäädä vähemmälle huomiolle, kuten esimerkiksi DNS-palvelun sinänsä oikeellisen toiminnan hyväksikäyttö vahingollisiin tarkoituksiin.

Homma toimii näin: Haittaohjelman saastuttama päätelaite ottaa yhteyttä komentopalvelimeen käyttäen DNS-nimeä IP-osoitteen sijaan, joka mahdollistaa komentopalvelimen IP-osoitteen vaihtumisen tarpeen tullen. Tästä johtuen yhteydenottoa komentopalvelimeen ei voida estää palomuurin staattisella säännöllä perustuen kohteen IP-osoitteeseen. Komentopalvelimen IP-osoite selviää sinänsä legitiimillä DNS-kyselyllä. Saastunut päätelaite on valmis avaamaan yhteyden komentopalvelimeen ja ottamaan vastaan komentoja. Edes palomuuri ei välttämättä reagoi mitenkään koska kaikki liikenne on sen mielestä asiallista.

Kuvitteellinen komentopalvelin sijaitsee osoitteessa komentopalvelin.haitake.com, joka on samalla toimialueen autoritatiivinen DNS-palvelin. Haittaohjelma on ohjelmoitu pyytämään toimintaohjeita käyttäen DNS-kyselyitä. Tietty vastaus tiettyyn DNS-kyselyyn vastaa tiettyä komentoa, jonka mukaisesti haittaohjelma toimii. Esimerkiksi DNS-kysely annakomento.haitake.com palauttaa CNAME-tietueen suoritakomento.haitake.com. Tällöin komento- ja ohjausmekanismi on luotu perustuen host nameen eikä palomuuri välttämättä vieläkään reagoi.

Oletetaan, että haittaohjelman tehtäväksi on määritelty sosiaaliturvatunnusten varastaminen. Tiedot toimitetaan hyökkääjälle DNS-protokollan avulla. Jokaista sotua vastaa yksi DNS-kysely (esim. 110177-122f.haitake.com, 120565-111d.haitake.com jne.). Nämä DNS-kyselyt kohdistuvat viime kädessä haitake.com:n toimialueen autoritatiiviseen DNS-palvelimeen, joka on hyökkääjän hallinnassa. Hyökkääjä riisuu vastaanotetuista DNS-kyselyistä toimialue-osuuden ja tallentaa host namet taulukkoon. Näin hyökkääjällä on taulukollinen sosiaaliturvatunnuksia.

Mitä asialle voi sitten tehdä? Monet uuden sukupolven palomuurit toteuttavat suojausta kyseistä uhkaa vastaan erilaisin tavoin. Suojaus voi perustua esimerkiksi DNS-signatureen, eli tunnistetietoon siitä, kuinka tunnettu haittaohjelma hyödyntää DNS-palvelua, tai maineeseen perustuvaan mustaan listaan haitallisiksi tiedetyistä toimialueista. DNS sinkholella voidaan estää päätelaitteen yhteydenotto haitalliseen toimialueeseen ohjaamalla yhteydenotto toisaalle. Cygaten NGFW-palveluun on saatavilla mekanismit torjumaan DNS-palvelun hyväksikäyttö edellä mainituin tavoin.

Eikö olisi kuitenkin hyvä puuttua ongelmaan siellä missä nimenselvitys tapahtuu eli DNS-palvelimella? Cygaten DDI-palveluun on saatavilla DNS Firewall -toiminnallisuus, joka suojaa verkon DNS-protokollan hyödyntämiseltä vahingoittamistarkoituksessa. DNS Firewall pohjautuu jatkuvasti päivittyvään, maineeseen perustuvaan, tietokantaan toimialueiden nimistä. Mikäli suojattu DNS-palvelin vastaanottaa kyselyn, joka kohdistuu maineeltaan epäluotettavaan toimialueeseen, kyseiseen kyselyyn ei vastata. Sen sijaan tästä tapahtumasta kirjataan lokiin merkintä ja tieto lähetetään haittaohjelman saastuttamasta koneesta esimerkiksi verkonvalvontajärjestelmälle ja siitä luodaan häiriötiketti palvelutuotannon järjestelmään.