Bu yıl araştırmacılar tarafından ortaya çıkarılan bir çift saldırı, dünyanın internet altyapısının güvenliğinin sağlanmasına yardımcı olmak için benimsenen Alan Adı Sisteminin (DNS) ve güvenlik uzantılarının (DNSSEC) kırılganlığının altını çizdi.
Geçtiğimiz yıl, İnternet altyapı firmaları ve yazılım üreticileri, DNSSEC’deki kritik bir dizi kusura karşı DNS sunucularına yama yapmak için çalıştı. İlk olarak Goethe-Universität Frankfurt ve Technische Universität Darmstadt’taki dört araştırmacı tarafından bir yıldan fazla bir süre önce keşfedilen KeyTrap hizmet reddi saldırısı olarak adlandırılan saldırı, DNS sunucularını özel olarak oluşturulmuş DNSSEC paketlerindeki imzaları doğrulamak için saatlerce kandırabilir. bu ayın başlarında Black Hat Europe 2024 konferansındaki sunumları.
Goethe’de bilgisayar bilimi profesörü Haya Schulmann, araştırmacıların büyük İnternet sağlayıcılarını geçen yılın sonlarında sorunlar hakkında bilgilendirdiğini ve bu yılın başlarında sorunlara yönelik yamalar üretmek için onlarla birlikte çalıştığını ancak alan adı sistemleri güvenlik uzantılarındaki kusurların sistematik olduğunu söylüyor. -Universität Frankfurt ve çalışmaya katılan araştırmacılardan biri.
“Sorunun temelinin çözüldüğünü söyleyemem” diyor. “En ciddi sorunları hafifleten yamalar var, ancak temel sorun henüz çözülmedi.”
KeyTrap güvenlik zayıflıkları 2024’te ortaya çıkan tek DNS saldırısı değildi. Mayıs ayında Çinli araştırmacılardan oluşan bir ekip, DNS’de üç tür saldırıya izin veren üç mantıksal güvenlik açığı keşfettiklerini açıkladı: DNS önbellek zehirlenmesi, hizmet reddi ve kaynak tüketim. Araştırmacılar, TuDoor olarak adlandırılan saldırının yaklaşık 24 farklı DNS yazılım kod tabanını etkilediğini belirtti. çalışmalarının özetinde belirtilen.
DNS ve DNSSEC kusurlarının iki sınıfının keşfi, güvenlik ve kullanılabilirliğin çoğu zaman birbiriyle çelişkili olduğunu ve İnternet’in bir bütün olarak hala kırılgan alanlara sahip olduğunu vurgulamaktadır.
Goethe-Universität Frankfurt’tan Schulmann, “İnternet, yavaş yavaş gelişen deneysel bir araştırma projesiydi ve çok az ağla başladı ve bu devasa ticari platformu destekleyecek şekilde yavaş yavaş gelişti – elbette kırılgandır” diyor. “İşe yaraması bir mucize.”
“Özgürce Kabul Et, Muhafazakar Gönder” Düşüyor
İnternetin büyük bir kısmının tasarım felsefesi, bilgisayar bilimcisi Jonathan Postel’in benimsediği bir prensibe dayanmaktadır ve Alman araştırmacılar bunu şu şekilde ifade etmiştir: “Kabul ettiğiniz şeylerde liberal, gönderdiklerinizde ise muhafazakar olun.” İlke, yazılımın “ne kadar olası olursa olsun, akla gelebilecek her hatayla başa çıkacak şekilde yazılması; er ya da geç bu özel hata ve öznitelik kombinasyonunu içeren bir paket gelecektir ve yazılım hazırlanmadığı sürece, yazılımın, kaos ortaya çıkabilir” RFC 1122’ye göre, İnternet Ana Bilgisayarları için Gereksinimler – İletişim Katmanları.
Ancak diğer eleştiriler, beklenmeyene tolerans göstermenin çoğu zaman zararlı sonuçlara yol açtığını buldu. Yazılım çok liberal bir şekilde kabul edildiğinde, özellikle protokoller yeterince korunmadığında, katı standartlar yavaş yavaş bozulabilir ve özellik kaymasına maruz kalabilir. yazılım mühendisleri Martin Thomson ve David Schninazi RFC 9413’te tartışıyorlar.
“Dikkatsiz uygulamalar, spesifikasyonların gevşek yorumlanması ve spesifikasyondaki boşlukları kapatmak için gereksinimlerin koordinesiz bir şekilde tahmin edilmesi güvenlik sorunlarına yol açabilir” diye yazdılar. “Protokol varyasyonlarının sonuçlarını gizlemek, sorunların gizlenmesini teşvik eder, bu da hataları gizleyebilir ve keşfedilmelerini zorlaştırabilir.”
Alman üniversite araştırmacıları DNSSEC’in çeşitli şifreleme algoritmalarını kabul etmesinin genişlemesinden yararlandı Yol dışı bir saldırı oluşturmalarına olanak tanıyan bir saldırı vektörü geliştirdiler; diğer bir deyişle, DNSSEC işlemini işleyen bir yönlendiriciyi veya DNS sunucusunu kontrol etmelerine gerek yoktu. Yüzlerce şifreleme imzası ve yüzlerce anahtar içeren DNSEC paketleri göndererek, DNS sunucularını tüm kombinasyonları doğrulamaya zorladılar; bunun nedeni, sunucuların çok çeşitli şifreleme yöntemlerini desteklemesiydi.
Schulmann, “Kriptografiye sahip olduğunuzda, birden fazla algoritmayı devreye almanız gerektiğinde başlayan zorluklar ve karmaşıklıklar vardır” diyor. “Bütün bu algoritmaları kullanarak imzalamanız gerekiyor ve her çözümleyicinin algoritmaları doğrulaması ve hangilerinin gönderildiğini belirlemesi gerekiyor… ve imzayı doğrulaması gerekiyor, sorun da bu.”
DNSSEC Sınırlarını Zorluyor
DNSSEC zayıflığının düzeltilmesi, sakız ve balyalama telinin dijital eşdeğerini gerektiriyordu. Örneğin Cloudflare’in, .com’un cloudflare.com’a yanıt verme yetkisi vermesi gibi, istekler bölgeler arası olduğunda sunucularının kabul edeceği maksimum anahtar sayısına sınırlar koyduğunu belirtti.
Ancak bunun basit bir çözümü yok, dolayısıyla internet altyapısı şirketlerinin de çevik olması gerekiyor.
Cloudflare, “Bu sınır zaten mevcut olsa ve platformumuz için çeşitli diğer korumalar oluşturulmuş olsa bile, yetkili bir DNS sunucusundan gelen kötü amaçlı bir DNS yanıtını işlemenin hesaplama açısından hala maliyetli olacağını fark ettik.” konuyla ilgili analiz ve yanıt notunda belirtildi“Bu güvenlik açığından yararlanmaya çalışan saldırıları tespit etmemizi sağlayacak ölçümler ekledik” diye ekledi. Şirket ayrıca taleplere ek sınırlamalar getirdi.
Şu anda var DNSSEC ile ilgili 30’dan fazla RFCSavunmacıların, saldırganların taktiklerine uyum sağlamak için standardı tekrar tekrar yamalamaları gerektiğinin altını çiziyor. Geliştiricilerin, yazılımlarını en yüksek standartta oluşturduklarından emin olmak için topluluktaki altyapı operatörleri ve araştırmacılarla yakın ilişki içinde olmaları gerekir.
“Araştırmamızda, ne kadar çok işlevselliğe sahip olursanız, o kadar çok özellik eklerseniz, o kadar çok hata ve sorunla karşılaşırsınız ve bunların tümü saldırı başlatmak için kullanılabilir” diyor. “Yönlendirme ağları, DNS ve diğer sistemler; bunlar farklı değil.”