Hlavní navigace

Hacknuté DNS?

Petr Tesařík 7. 7. 1999

Před pár dny proběhla na comp.protocols.dns.bind zpráva o tom, že v některých DNS cache jsou nesprávné údaje. Záhy nato se objevila i domněnka, že byly hacknuty servery fy Network Solutions, která provozuje některé kořenové nameservery. Všechno ale může být i jinak...

Před pár dny proběhla na comp.protocol­s.dns.bind zpráva o tom, že v některých DNS cache jsou nesprávné údaje. Záhy nato se objevila i domněnka, že byly hacknuty servery fy Network Solutions, která provozuje některé kořenové nameservery. Všechno ale může být i jinak…

Nejdřív stručný úvod do problematiky – pokud rozumíte principu DNS, přeskočte na druhý odstavec. :) Jedním z principů systému doménových jmen (DNS), je jeho hierarchická uspořádanost. V praxi to znamená asi tolik, že normální uživatel dostane od svého poskytovatele IP adresu jím provozovaného nameserveru a na ten směřuje všechny své dotazy na doménová jména. Na tomto nameserveru ovšem nejsou uložena všechny domény na světě – pokud nameserver „neví“, zeptá se kořenového nameserveru, případně nameserveru, který administrátor nastavil jako „forwarder“ a který buď odpověď zná, nebo dotaz pošle dál. Poslední instancí jsou vždy kořenové nameservery, které obsahují záznamy pro doménu „.“, tj. tu doménu, která je nadřízená doménám první úrovně jako .net, .com, .org, domény zemí, atd.

Aby se předešlo zbytečným dotazům (a síťovému provozu), nameservery kešují výsledky dotazů na ostatní nameservery a právě v některých těchto keších se v pátek, 2. června, objevila pro www.networkso­lutions.com IP adresa, která patří www.icann.org. ICANN je zkratka pro Internet Corporation for Assigned Names and Numbers a jedná se o novou neziskovou organizaci, která má převzít zodpovědnost za alokaci IP adres, přiřazování protokolových parametrů, správu systému domén a provoz kořenových serverů, tj. funkce, jež nyní na základě kontraktu vlády Spojených států vykonává IANA (Internet Assigned Numbers Authority) a další organizace. Například Network Solutions, Inc., která provozuje kořenové servery.

Nejméně u tří kořenových serverů, konkrétně h.root-servers.net, k.gtld-servers.net a g.root-servers.net, se objevil chybný záznam, který mapuje www.networkso­lutions.com na IP adresu 128.9.160.28. Ta ovšem patří www.icann.org! ICANN okamžitě zveřejnil tiskovou zprávu, podle níž byly servery, provozované fou Network Solutions hacknuty. Do případu se již zapojila i FBI, která (zdá se) zatím zkoumá, odkud útok přišel.

Poněkud jiný názor na věc má náš stálý spolupracovník, Petr Souček a podle jeho názoru je věc mnohem prostší. Nějaký vtipálek (a nebo kdokoli, kdo by na tom mohl mít skutečný zájem) zkrátka zaregistroval do databáze Internicu hostitele www.networkso­lutions.com s výše uvedenou IP adresou, která ukazuje na www.icann.org. Tím pádem se do zónového souboru verze 1999070100 (tj. z 1. 7. 1999) u všech kořenových serverů dostal natvrdo odpovídající A záznam a odtud se pak šířil např. do keší ostatních serverů. Špatná data pak ještě nějakou dobu zůstala na oněch třech výše jmenovaných kořenových serverech. V současné chvíli už tento záznam neexistuje, ale rs.internic.net tvrdil toto:

drson:~$ whois www.networksolutions.com@rs.internic.net
[rs.internic.net]
[No name] (WWW8533-HST)
   Hostname: WWW.NETWORKSOLUTIONS.COM
   Address: 128.9.160.28
   System: ? running ?
   Record last updated on 01-Jul-99.
   Database last updated on 2-Jul-99 08:40:06 EDT.

Pokud tedy Network Solutions dostatečně nekontrolují validitu záznamů o hostitelích, nemuselo se vůbec jednat o hack. Proti tomu stojí tvrzení NSI, že různé jejich servery byly v pátek ve 2:00 ráno mimo provoz. Je ovšem otázkou, zda jejich vyřazení bylo příčinou problému nebo se dostaly mimo provoz až v důsledku chybného DNS. :-)

IMHO je největší chybou, že Internet vznikal v dosti entuziastické atmosféře, kdy skutečným přáním každého jeho účastníka bylo, aby vše fungovalo pokud možno co nejlépe. S příchodem komerčních aktivit se tento trend změnil a stále znovu a znovu se budou objevovat problémy tohoto typu. Už jenom proto, aby nějaký přemýšlivý člověk, který rozumí technické stránce věci (všeobecně známý pod označením hacker :) dokázal, že kdosi má kdesi chybu. Problém to začíná být, když nejde o akademickou diskusi a studentskou recesi, ale o skutečné peníze, a to ne malé. Na druhou stranu, nikdo původně netvrdil, že se Internet pro komerci nějak zvlášť hodí a společnosti, které se přesto rozhodly jej využívat, tak činí na vlastní riziko a měly by si toho být vědomy. O tom by se ovšem dalo diskutovat věčně. ;-)

Petr Tesařík


Související články a odkazy:

Našli jste v článku chybu?
DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí