Geçtiğimiz hafta Microsoft’a yapılan saldırılardan sonra, güvenlik konusundaki endişeler artmaya başladı. CERT Koordinasyon Merkezi, geçen Pazartesi günü, İnternet’in temel altyapısını oluşturan bazı yazılımlarda güvenlik boşlukları olma ihtimali bulunduğunu açıkladı.
Internet Software Consortium tarafından geliştirilen BIND (Berkeley Internet Name Domain) DNS yazılımlarının, eski sürümlerinde bazı güvenlik boşlukları bulunduğu konusunda ayrıntılı bilgilerin bulunduğu bir rapor yayınladı. URL’leri, IP adreslerine eşleyen yazılımların eski sürümlerini kullanan kullanıcılarının, BIND 4.9.8, BIND 8.2.3 ya da BIND 9.1 sürümlerine yükselmeleri gerektiği belirtildi. Diğer yandan, BIND’ın 4.x.x sürümleri ISC tarafından, artık desteklenmemesinden dolayı kullanıcıların, ISC BIND 8.2.3 ya da BIND 9.1’e geçmeleri tavsiye edildi.
CERT’ten Shawn Hernan InternetNews Radio’ya, geçen Pazartesi günü yaptığı bir açıklamada şu an hizmet veren DNS sunucularının yüzde 80’inin üzerinde BIND yazılımının bulunduğunu belirtti. Hernan, ayrıca, İnternet üzerindeki diğer DNS sunucularına kök hizmeti veren 16 sunucunun üzerinde de, BIND yazılımın bulunduğunu ve bu yazılımların özel olarak modifiye edildiğini sözlerine ekledi.
Hernan, geçen pazartesi günü ortaya çıkan boşlukların güvenliği ciddi biçimde tehlikeye attığını belirtti ve sözlerine şöyle devam etti: “Bu boşluklar, saldırganların makineye erişim hakkı kazanmalarını sağlıyor. Bu bir isim sunucusuysa sonuç çok ciddi olabiliyor. Etkiler arasında, sitenin harici kullanıcıların erişilemez hale gelmesi ya da dahili kullanıcıların İnternet’teki site harici yerlere erişememeleri yer alıyor. Bir diğer önemli etki ise, isimler ve numaralar arasındaki eşleşmenin değiştirilmesi, yani www.cert.org yazdığınızda çok farklı bir siteye gidebiliyorsunuz. Ama siz www.cert.org’a gittiğinizi zannediyorsunuz. Daha da önemlisi e-postalar farklı bir yere yönlendirilebiliyor. Yani siz [email protected]’a e-posta atarsanız bunu saldırgan okuyabiliyor”.
Güvenlik boşlukları arasında şunlar yer alıyor:
·ISC BIND 8 TSIG (Transaction Signature) yönetim kodunda bellek aşımı (buffer owerflow). Bu güvenlik boşluğu saldırganların BIND sunucusu ile aynı haklara sahip olmalarını ve kod çalıştırabilmelerini sağlıyor. BIND’ın genellikle süper kullanıcı hesabı ile çalıştırılmasından dolayı çalıştırılan kod da süper kullanıcı haklarına sahip oluyor.
·ISC BIND 4 nslookupComplain() bellek aşımı. Bu boşluk BIND sunucusunun çalışmasını bozabiliyor ve saldırganların BIND sunucusu ile aynı haklara sahip kodları çalıştırabilmelerine neden oluyor.
·ISC BIND 4 nslookupComplain()’de giriş geçerliliği hatası. Bu boşluk saldırganların BIND sunucusu ile aynı haklara sahip kodları çalıştırabilmelerini sağlıyor.
·ISC BIND sunucularına yapılan sorgulamalarda ortam değişkenlerinin ortaya çıkması. Bu boşluğu kullanan saldırganlar program yığınlarının bilgilerini okuyabiliyorlar. Yani ortam değişkenlerinin neler olduğunu öğrenebiliyorlar. Bu boşluk ayrıca yukarıda saydığımız ikinci ve üçüncü boşluklar için exploit’ler geliştirilmesine yardımcı olabiliyor.
Yukarıda sayılan ilk üç güvenlik boşluğu PGP Security’nin COVERT Laboratuarları, sonuncu boşluk ise Claudio Musmarra tarafından keşfedilmiş.
BIND 4.9.8 ve 8.2.3 dağıtımlarını ftp://ftp.isc.org/isc/bind/src/, 9.1 sürümünü ise ftp://ftp.isc.org/isc/bind9/ adresinden indirebilirsiniz.
Hernan var olan güvenlik boşluklarına rağmen tüm sitelerin yazılımlarını güncelleyeceklerinden biraz kuşkulu.
Hernan, “Bazı nedenlerden dolayı tüm siteler yazılımlarını güncellemeyecekler. Bizi en çok endişelendiren bu. Hangi siteler yazılımları güncelleyecek, hangileri bu boşluklardan etkilenmeye devam edecek. BIND için yazılan exploit’ler çok çabuk ortaya çıkma eğilimi gösteriyor. BIND’da bulunan son güvenlik boşluğu için geliştirilen exploit sadece bir hafta içerisinde ortaya çıktı. Yani saate karşı yarışıyoruz” diyor.
BIND’da daha önceden de güvenlik boşlukları ortaya çıkmıştı. 1997 yılından bu yana CERT Koordinasyon Merkezi BIND’la ilgili 12 rapor yayınladı.
Bazı uygulama geliştiricileri BIND’da bulunan yazılım hatalarının çok önemli tasarım boşluğu olduğunu iddia ediyorlar. Örneğin BIND’a Buggy Internet Name Daemon – Hatalı İnternet İsim Cini adını takan bir geliştirici BIND’ı DNS’in Windows’u olarak tanımlıyor. Bu geliştirici kendi DNS eşleme yazılımını geliştirmiş ve geliştirdiği yazılımda güvenlik boşluğu bulacak kişilere ödül (http://cr.yp.to/djbdns/guarantee.htm) vermeyi dahi vaat ediyor. BIND’ın bazı sorunları olduğunu kabul eden Hernan hiçbir yazılımın hatasız olmayacağını belirtiyor.
Hernan, “Saldırganların favori hedeflerinden birisi BIND. Hiçbir yazılımın mükemmel olmayacağına inanıyoruz, tüm yazılımlar saldırılardan, kazalardan ve başarısızlıklardan nasibini alır. BIND’da ileride daha ciddi hatalar ortaya çıkabilir. Ama asıl önemli olan bunlara karşı zamanında önlem almak” diyor.