Objaśnienie 10-letniej dziury w zabezpieczeniach spowalniającej cały Internet

Największy znany atak hakerski tego rodzaju spowodował, że Internet zaczął pełzać wśród użytkowników na całym świecie, ale nie obwiniaj hakerów — awaria wynika z coraz bardziej podatnego na dekadę problemu z „podstawową instalacją internetową”, która można łatwo naprawić.

Największy znany atak hakerski tego rodzaju doprowadził Internet do pełzania dla użytkowników na całym świecie, ale nie obwiniaj hakerów — wszystkie przestoje wynikają z coraz bardziej podatnego na dekadę problemu z zabezpieczeniami „podstawowej sieci wodociągowej Internetu”, który można łatwo naprawić. Walka między holenderską usługą hostingową Cyberbunker a zwalczającą spam grupą o nazwie Spamhaus zaowocowała „odwetowymi” atakami rozproszonej odmiany odmowy usługi (DDoS) na serwery Spamhause, z których wszystkie były możliwe z powodu tzw. otwórz DNS.' Podczas gdy hakerzy chcieli tylko zaszkodzić Spamhausowi, metoda ta spowodowała przerwy w działaniu pozostałej części Internetu — lub przynajmniej milionów użytkowników nie będących hakerami — ponieważ Cyberpunker przeszedł przez serwer nazw domen, system znany również jako główny w Internecie. hub, który pobiera nazwy stron internetowych i zamienia je na adresy IP zrozumiałe dla komputerów. W szczególności hack działał tak, według New York Times 's John Markoff i Nicole Perlroth :

W ostatnim incydencie atakujący wysłali wiadomości podszywające się pod pochodzące ze Spamhaus do tych maszyn, które następnie zostały drastycznie wzmocnione przez serwery, powodując, że torrenty danych były kierowane z powrotem na komputery Spamhaus.

Ponieważ niezwykle agresywny atak — sieć komputerów wysyłała 300 miliardów bitów na sekundę, co wystarczyło do zniszczenia infrastruktury rządowej — początkowo był wymierzony w DNS, który obsługuje wiele witryn internetowych, blokował ruch nie tylko dla spamu. .

Ten rodzaj intrygi jest jednak możliwy przede wszystkim z powodu jednej znanej od dawna dziury: „Wielu dużych dostawców usług internetowych nie skonfigurowało swoich sieci, aby upewnić się, że ruch opuszczający ich sieci faktycznie pochodzi od ich własnych użytkowników” – wyjaśniają. Markoffa i Perlrotha. Niektórzy dostawcy DNS są „otwarci”, co oznacza, że ​​odpowiadają na zapytania z każdy ISP, a nie tylko „autoryzowani” klienci, jako usługa bezpieczeństwa sieci w chmurze Cloudfare wyjaśnia w tym poście ten post autorstwa Mathew Prince:

Problem polega na tym, że wiele osób korzystających z resolwerów DNS pozostawia je otwarte i chętne do odpowiedzi na każdy adres IP, który je zapyta. Jest to znany problem, który ma co najmniej 10 lat. To, co wydarzyło się ostatnio, to fakt, że wydaje się, że kilka odrębnych botnetów wyliczyło przestrzeń IP w Internecie w celu wykrycia otwartych przeliczników. Po odkryciu można je wykorzystać do uruchomienia znaczących ataków wzmacniających DNS.

W osobnym poście nazywa DNS „ plaga Internetu . Ta dziura jest znana od „co najmniej 10 lat”, zauważają Markoff i Perlroth, ale hakerzy zaczęli ją wykorzystywać do ataków dopiero niedawno. Niestety, metoda ta staje się coraz bardziej popularna z coraz silniejszymi atakami, mówi Prince: „Rozmiar tych ataków będzie rósł tylko do czasu, gdy wszyscy dostawcy podejmą wspólne wysiłki w celu ich zamknięcia”.

Być może bardziej niepokojące niż fakt, że wielu głównych dostawców usług internetowych ma poważną, otwartą wadę, jest to, że po wystąpieniu ataków bardzo trudno jest powstrzymać ich paraliżujące skutki. „Nie można powstrzymać zalewu DNS, wyłączając te serwery, ponieważ te maszyny muszą być domyślnie otwarte i publiczne. Jedynym sposobem na poradzenie sobie z tym problemem jest znalezienie ludzi, którzy to robią i ich aresztowanie” – powiedział badacz ds. bezpieczeństwa Dan Kaminsky Czasy . Dobra wiadomość jest taka, że ​​istnieje rozwiązanie na dłuższą metę: zbliż się. „Najlepszą praktyką w przypadku korzystania z rekurencyjnego programu rozpoznawania nazw DNS jest upewnienie się, że odpowiada on tylko na zapytania od autoryzowanych klientów” – dodaje Prince.