सर्वेक्षण: 10 में एक डीएनएस सर्वर 'तुच्छ रूप से कमजोर' है

इंटरनेट के डीएनएस (डोमेन नेम सिस्टम) सर्वरों के 10 प्रतिशत से अधिक अभी भी कैश-विषाक्तता के हमलों के लिए कमजोर हैं, सार्वजनिक-इंटरनेट के नाम सर्वरों के एक विश्वव्यापी सर्वेक्षण के अनुसार।

इसके बावजूद डीएनएस विशेषज्ञ क्रिकेट लियू, जिनकी कंपनी इन्फॉब्लॉक्स ने वार्षिक सर्वेक्षण का निवेदन किया, ने कहा कि यह कई महीनों के बाद कमजोरियों का खुलासा किया गया था और फिक्स को उपलब्ध कराया गया था।

"हम अनुमान लगाते हैं कि वहां 11.9 मिलियन नामसर्वर हैं, और 40 प्रतिशत से अधिक खुला रिकर्सियन, इसलिए वे किसी से पूछताछ स्वीकार करते हैं, इनमें से एक चौथाई समझौता नहीं किया जाता है, इसलिए 1.3 मिलियन नामसर्वर हैं जो तुच्छ कमजोर होते हैं। "लियू, जो इंफोब्लॉक्स के वास्तुकला के उपाध्यक्ष थे।

[और पठन: मैलवेयर को कैसे निकालना अपने पवन से ओएस पीसी]

अन्य डीएनएस सर्वर अच्छी तरह से पुनरावर्ती की अनुमति दे सकते हैं, लेकिन हर किसी के लिए खुला नहीं है, इसलिए वे सर्वेक्षण से नहीं उठाए गए हैं, उन्होंने कहा।

लियू ने कहा कैश-विषाक्तता भेद्यता, जिसे अक्सर नाम दिया जाता है डेन कामिंस्की, जो सुरक्षा के शोधकर्ता ने जुलाई में इसके बारे में जानकारी प्रकाशित की, वह वास्तविक है: "कमिंस्की का सार्वजनिक होने के कुछ दिनों के भीतर उसका शोषण किया गया था।"

भेद्यता को लक्षित मॉड्यूल हैकिंग और पैठ परीक्षण उपकरण मेटासप्लोइट, उदाहरण के लिए। विडंबना यह है कि, कैश विषाक्तता के हमले से समझौता करने वाले पहले DNS सर्वरों में से एक का उपयोग मेटासप्लोइट के लेखक, एचडी मूर द्वारा किया गया था।

अभी के लिए, कैश-विषाक्तता दोष के प्रति प्रतिरोध पोर्ट बंदरगाह है अलग-अलग स्रोत पोर्ट से डीएनएस क्वेरी भेजकर, यह एक आक्रमणकर्ता को यह अनुमान लगाता है कि किस पोर्ट को जहरीले डेटा भेजना है।

हालांकि, यह केवल एक आंशिक तय है, लियू ने चेतावनी दी "पोर्ट यादृच्छिकता इस समस्या को कम करती है लेकिन यह असंभव नहीं पड़ता है," उन्होंने कहा। "यह वास्तव में केवल क्रिप्टोग्राफिक जांच के रास्ते पर एक स्टॉपगाप है, जो कि DNSSEC सुरक्षा एक्सटेंशन क्या करता है।

" DNSSEC हालांकि कार्यान्वित करने के लिए पूरी तरह से लंबे समय तक ले जा रहा है, क्योंकि इसमें कई बुनियादी ढांचे शामिल हैं - कुंजी प्रबंधन, क्षेत्रीय हस्ताक्षर, सार्वजनिक कुंजी हस्ताक्षर, और इसी तरह। हमने सोचा कि हम इस वर्ष DNSSEC को अपनाने में एक ध्यान देने योग्य तेज देख सकते हैं, लेकिन हमने केवल एक लाख नमूने में केवल 45 DNSSEC रिकॉर्ड देखे हैं। पिछले साल हमने 44 देखा। "

लियू ने कहा कि सकारात्मक पक्ष पर, सर्वेक्षण में कई अच्छी खबर मिली। उदाहरण के लिए, एसपीएफ़ के लिए समर्थन - प्रेषक नीति ढांचा, जो ई-मेल स्पूफिंग को जोड़ता है - पिछले 12 महीनों में 12.6 प्रतिशत जोन से 16.7 प्रतिशत की वृद्धि हुई।

इसके अलावा, इंटरनेट से जुड़े असुरक्षित माइक्रोसॉफ्ट डीएनएस सर्वर सिस्टम की संख्या कुल 2.7 प्रतिशत से घटकर 0.17 प्रतिशत हो गई है। ये सिस्टम अच्छी तरह से अभी भी संगठनों के अंदर प्रयोग में हो सकता है, लेकिन कहा कि महत्वपूर्ण बात यह है कि "लोग इंटरनेट से उन्हें कनेक्ट करने से दूर हो रहे हैं।"

आगे की ओर देखिए, लियू ने कहा कि ओपन रिकर्सिव डीएनएस की विशिष्ट आवश्यकता वाले संगठन सर्वर - और उन्हें बाढ़ आने से रखने की तकनीकी क्षमता - उन्हें चलाना चाहिए।

"मैं खुले रिकर्सिव सर्वरों का प्रतिशत नीचे जाना चाहूंगा, क्योंकि यहां तक ​​कि अगर वे समझौता कर रहे हैं तो वे इनकार करने के लिए महान एम्पलीफायर बनाते हैं उन्होंने कहा, "हम नहीं कर सकते हैं।" रिकर्सिव सर्वर से छुटकारा पाएं, लेकिन आपको किसी को भी इसका इस्तेमाल करने की अनुमति नहीं है। "