Les attaques exploitant les serveurs DNS vulnérables à faille de "DNS Poisoning" ont démarrées.
Si vous n'est pas encore protégés, il est temps de le faire : Même si la période actuelle de congés n'est pas propice pour mobiliser les personnes, remontez le problème au niveau de votre direction générale. Rester inactif ne vous apportera que des problèmes : L'été devrait être chaud, les semaines à venir particulièrement.
Tout d'abord, la vision "macro" présentée sur le Blog de la société "Arbor Networks, 30 Days of DNS Attack Activity, July 28, 2008" montre bien que des changements de comportement du trafic DNS sont clairement perceptibles au niveau Internet global.
De façon plus précise, les informations obtenues en provenance de plateformes DNS localisées sur le territoire Français indiquent clairement que des attaques (ou tentatives d'attaques) sont en cours : Nous avons pu constater que les serveurs DNS reçoivent un très grand nombre de requêtes DNS pour des domaines fantaisistes et aléatoires comme ediju6tgeed.domaine-sous-attaque.net, 45euegsg.domaine-sous-attaque.net, etc... ou encore des TLD (Top-Level Domain) dans cet autre cas : tguueg6776t.net, y7pj7dg.net, etc.... Louche, très louche.
Plus concrètement, des attaques ayant réussies à l'encontre de serveurs DNS d'un grand opérateur de télécommunications américain, ont récemment été publiées: PC World, DNS Attack Writer a Victim Of His Own Creation, July 30, 2008. Dans ce cas précis, la cible de la redirection via empoisonnement du cache DNS aurait été le site de Google avec un objectif clairement affiché : L'argent.
Selon nous, il y a de très fortes chances que le nombre d'attaques aille crescendo dans les prochains jours : C'est une trop belle occasion que le crime organisé sur Internet ne saurait laisser passer.
En cas de suspicion, une réponse simple est de vider le cache de vos serveurs DNS resolvers. Celui-ci "oubliera" donc les données malicieuses comme les bonnes : Cela aura un impact négatif en terme de performances mais entre deux maux, il faut choisir le moindre non ?
Existe-t-il des moyens/techniques pour protéger son nom de domaine des attaques ? Par exemple, est-ce que Google aurait pu faire qqchose ? J'ai l'impression que non...
Question effectivement pertinente : La réponse est malheureusement négative.
Une première idée de protection était de monter le TTL (Time To Live) sur les zones/informations au niveau des serveurs DNS autoritaires : De la sorte, ces informations auraient été conservées/cachées plus longtemps par les DNS caches/resolvers.... Mais cela ne fonctionne pas : L'attaque permet de remplacer des données en cache même si celle-ci sont marquées comme venant de serveurs ayant autorité et pour lesquelles le TTL n'est pas expiré...
Une piste serait les certificats SSL mais comme les utilisateurs cliquent allègrement sur le bouton "OK Continue" des fenêtres d'avertissement on ne va pas loin non plus de ce coté.
Signatures pour SNORT:
http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_DNS_Poisoning
Merci pour le lien vers les signatures Snort.
Dans la même catégorie, un plugin NESSUS est disponible afin d'identifier les serveurs vulnérables:
http://www.nessus.org/plugins/index.php?view=single&id=33447
La solution au DNS cache poisoning est d'authentifier la source émettrice du nom de domaine. Cela signifie que l'on doit savoir qui fournit l'information au cache. Le protocole DNSSEC par exemple permet de fournir ce renseignement. Cependant il nécessite d'être mis en place sur les serveurs authoritaires.
Cher Daniel, merci pour votre commentaire et désolé pour le temps de réponse durant cette période estivale.
En effet, DNSSEC est un bon moyen s'assurer l'intégrité des informations et donc de se protéger des tentatives de détournement. Les moyens techniques sont là (notamment dans ISC Bind) : Il reste l'épineuse question du déploiement à grande échelle... C'est bien là que le problème réside.