DNS forgery pharming attack information
http://www.net-security.org/secworld.php?id=5366
Posted on 24 July 2007.
Trusteer 在今日宣佈,其的 CTO 與安全研究者 Amit Klein 已經破解 BIND 的隨機亂數產生器,並示範一種新攻擊手法,可影響大多數網際網路使用者。在這種「"DNS Forgery Pharming(DNS 偽造網址轉接)」的攻擊中,行騙者可從遠端強迫使用者訪問詐騙網站而無須事先危及任何電腦或網路裝置。
About BIND's Random Number Generator
為了避免 DNS 做出假回應,行騙者在這類攻擊中會送出一個包含假造 IP 位址的 spoofed response 到 requesting computer,BIND 實作了一種標準的、基於隨機亂數的 DNS 安全機制。這種機制可避免行騙者藉由偽造的 DNS 回應將使用者導向錯誤網站。
How BIND Random Number Generator Can be Breached 然而,安全研究者與 Trusteer 的 CTO Amit Klein,在 BIND 的實作當中發現一個嚴重的瑕疵,那允許行騙者有效的從遠端「預測」所產生的亂數,而無須控制網站與使用者之間的路由器或 DNS。利用這種弱點,行騙者可從遠端偽造 DNS 回應,然後將使用者導向詐騙網站。這個詐騙網站可竊取使用者的登入證明或是利用網站篡改使用者的通訊。
"這是一種破壞性極大的攻擊," Klein 說,"透過瞄準特定 ISP 的 DNS,行騙者可以在所有 ISP 使用者存取真實網站時,輕易地將使用者導向詐騙網站。使用者無法避免這類攻擊。"
操弄 DNS 的攻擊又稱 Pharming(網址轉接,一種新形態的網路釣魚),到目前為止,一般都相信行騙者需要征服使用者的電腦或 DNS 本身才能發動這類攻擊。不過這項瑕疵,讓那些安全度很高的使用者電腦或 DNS 都有可能遭受 Pharming 攻擊。
Recommendations
Trusteer 建議那些維護 BIND 9 DNS 的 ISPs 與企業,在 caching configuration 當中加入由 ISC 所釋出的最新 patch。現有桌面安全解決方案無法對抗這類型攻擊,因為 DNS forgery pharming 並不會影響到使用者的電腦或 DNS,而是 DNS 當中的「快取」資料。彼此認證的解決方案,
例如 Trusteer 的 Rapport,可以強固地對目的網站認證,並避免存取未經認證的網站。
