DNS gibi, internetin işlemesi için hayatı bir konuda tehdit oluşursa ciddiye alınması gerekir. Pek çok telekom üreticisinin ortak sorunu olan DNS Cache açığı konusunda, gerçekten risk altında olanlar kim ve eğer sorun giderilmez ise internet çöker mi?
Uzmanlar, yeni DNS cache açığının son derece önemli olduğunu ama DNS konusunda daha önce tehditler yaşandığını ve internet isimsunucuların bu tür tehditler için her zaman hazır beklediğini açıkladılar.
VeriSign Teknik üst yöneticisi Ken Silva, internetnews.com’a “DNS’e karşı bu tür saldırıları, yıllar önce teorik olarak mümkün olabilir diye tartışıyorduk. Aslında bu raporlanan ilk cache açığı değil. 90’ların sonlarından itibaren bu tür sorunlarla karşılaştık.” dedi.
DNS açığı, IOactive penetrasyon testi direktörü Dan Kaminsky’nin, cache saldırısına yol açabilecek bir tasarım hatasını raporlaması sonrası ortaya çıktı.
Saldırı yapıldığında, DNS sunucularda bir hata oluşuyor ve son kullanıcı başka bir siteye zorla yönlendiriliyor. Mesela kullanıcı Google.com yazan kullanıcıyı, Google yerine, saldırganın planladığı siteye gidiyor.
Kaminsky hatayı potansiyel olarak internetin çalışmasını engelleyebilecek bir açık olarak tanımladı.
Sektör uzmanları açığı “tehlikeli” olarak tanımlıyorlar ama korkulduğu kadar büyük bir etkisi olmayacağını düşünüyorlar.
Zaten açık tüm DNS sunucularını etkilemiyor. Versign gibi yönetici ad sunucular risk altında değil. Ama İnternet servis sağlayıcı (ISS) ve şirketlerdeki ad sunucular tehlike altında.
Silva, “.com ve .net uzantıların sunulduğu, ve ICANN ile uzun dönemli bir anlaşma yaparak işletme yapan VeriSign’ın Atlas DSN sunucusu hiçbir tehlike altında değil.” dedi.
Verisign’dan Silva, “DNS hiyerarşi içeren bir sistemdir. Yani çeşitli tabakalar vardır. Mesela www.microsoft.com için hiç bir adres göstermeyiz. Cevap da vermeyiz. Biz sadecesunucuların isimlerini veririz”. dedi.
GoDaddy’den Güvenlik Yöneticisi Neil Warner ise InternetNews.com’a GoDaddy’nin domain ad müşterilerinin DNS cache açığına karşı risk altında olmadıklarını söyledi.
Ama uzmanlar hala sorunun gereken kadar ciddiye alınmadığı uyarısında da bulunuyorlar.
“DNS ve BIND CookBook” isimli kitabın yazarı Cricket Liu, “Bir patlama olacağını sanmam. Konu bir süredir bildiğimiz bir grup olayın birleşimi olarak gözüküyor. Bir süredir, DNS’deki mesaj kimliğinin sadece 16 bit olduğunu, yani yeterinbce güvenli olmadığını biliyorduk.” dedi.
Problem, çoğu DNS sunucunun arka arkaya isim aramalarını kabul edecek şekilde configure edilmesinden meydana geliyor. Sonuçta dünya çapındaki DNS sunucularının yarısı bu tür sorgulara müsade ediyor.
Arka arkaya yapılan aramaları cache eden “yinelemeli” olarak adlandırılan DNS sunucular, bu tür aramalarla ilgili network trafiklerinde yarar sağlıyor. Trafiği azaltıyor.
Silva bunu şöyle örnekliyor “Örneğin 30.000 bilgisayarı olan bir firma düşünün. Bu bilgisayarların hepsi, tek bir web sayfasını arıyorsa, yinelemeli isim sunucular sadece1 kere arar ve diğer aramaları cache’den cevaplar.
Ama uzmanlar yinelemeli sorgulara izin verilmesini diğer DNS sunucularından saldırı almaya müsade edebileceği gerekçesi ile sakıncalı buluyorlar. İdeal olan ISS ya da şirketlerdeki, yinelemeli DNS sunucuların sadece kendi içindeki kullanıcılara cevap vermesi, internet üzerinden gelenlere yinelemeli hakkı vermemesi olmalı.
Kaynak : 