Norėdami pasipelnyti iš
klaidingai įvestų interneto svetainių adresų, keli didžiausi JAV interneto
paslaugų tiekėjai atvėrė milžinišką saugumo spragą, kuri leido įsilaužėliams
naudoti web adresus, priklausančius eBay, PayPal, Google ir Yahoo, faktiškai bet kuriam didesniam portalui.
klaidingai įvestų interneto svetainių adresų, keli didžiausi JAV interneto
paslaugų tiekėjai atvėrė milžinišką saugumo spragą, kuri leido įsilaužėliams
naudoti web adresus, priklausančius eBay, PayPal, Google ir Yahoo, faktiškai bet kuriam didesniam portalui.
Saugumo spraga buvo tyliai pašalinta, kai IOActive saugumo ekspertas Dan Kaminsky apie problemą pranešė interneto paslaugų tiekėjui Earthlink bei Britanijos kompanijai Barefruit, kuri teikė apsikeitimo reklaminėmis žinutėmis paslaugas.
„Interneto saugumas dabar priklauso nuo atsitiktinio reklaminių žinučių serverio, priklausančio kažkokiai Britanijos kompanijai“ – teigė Kaminsky.
Problema atsiranda, kai interneto paslaugų tiekėjai suardo standartinį DNS (Srities vardų struktūra) sistemos, atsakingos už žodinių vardų vertimą į skaitmeninius, veikimą. Kai vartotojai lankosi interneto svetainėje, pavyzdžiui Critical.lt, DNS sistema priskiria vardui jo IP adresą, tarkim 10.10.10.10, tačiau jeigu svetainės vardas neegzistuoja, DNS sistema praneša apie tai naršyklei, kuri dažniausiai atvaizduoja paprastą klaidos pranešimą.
Pradedant nuo 2006 metų rugpjūčio mėnesio, Earthlink kompanija vietoj to, kad gražintų NXDOMAIN (neegzistuojantis srities vardas) atsakymą, pateikdavo Barefruit kompanijai priklausančios apsikeitimų reklama sistemos serverio IP adresą. Naršyklei aplankius šį puslapį, vartotojui buvo rodomi reklaminiai pranešimai, siūloma pasirinkti alternatyvius tinklalapius arba pasinaudoti paieška.
Grėsmė iškyla, kai vartotojas kreipiasi į realios interneto svetainės neegzistuojantį posritį, pavyzdžiui, http://webmale.google.com. Tokiu atveju yra vaizduojami kompanijų Earthlink ir Barefruit reklaminiai pranešimai, tačiau interneto naršyklės antraštėje rodoma, kad tai oficialus Google tinklalapis.
Paaiškėja, kad visų posričių saugumas priklauso nuo Barefruit kompanijos serverių saugumo, kuris nebuvo idealus. Reklaminių žinučių puslapiai buvo pažeidžiami JavaScript kodo įterpimo atakai. Įsilaužėliams reikėjo sukonstruoti specialią nuorodą į neegzistuojantį posritį. Aplankę tokią nuorodą, vartotojai matytų įsilaužėlių pateiktą turinį. Saugumo tyrinėtojas pademonstravo būdą kaip įterpti YouTube filmuką į Facebook ir PayPal vardų sritis, tačiau įsilaužėlis galėtų sėkmingai įterpti kenkėjiškas programas bei pasisavinti tapatybę.
Kaminsky teigimu, Earthlink nėra
vienintelė kompanija vietoj klaidos pranešimų demonstruojanti reklamą, panašiai
elgiasi Verizon, Time Warner, Comcast ir Qwest interneto paslaugų
tiekėjai.
„Interneto saugumas dabar priklauso nuo atsitiktinio reklaminių žinučių serverio, priklausančio kažkokiai Britanijos kompanijai“ – teigė Kaminsky.
Problema atsiranda, kai interneto paslaugų tiekėjai suardo standartinį DNS (Srities vardų struktūra) sistemos, atsakingos už žodinių vardų vertimą į skaitmeninius, veikimą. Kai vartotojai lankosi interneto svetainėje, pavyzdžiui Critical.lt, DNS sistema priskiria vardui jo IP adresą, tarkim 10.10.10.10, tačiau jeigu svetainės vardas neegzistuoja, DNS sistema praneša apie tai naršyklei, kuri dažniausiai atvaizduoja paprastą klaidos pranešimą.
Pradedant nuo 2006 metų rugpjūčio mėnesio, Earthlink kompanija vietoj to, kad gražintų NXDOMAIN (neegzistuojantis srities vardas) atsakymą, pateikdavo Barefruit kompanijai priklausančios apsikeitimų reklama sistemos serverio IP adresą. Naršyklei aplankius šį puslapį, vartotojui buvo rodomi reklaminiai pranešimai, siūloma pasirinkti alternatyvius tinklalapius arba pasinaudoti paieška.
Grėsmė iškyla, kai vartotojas kreipiasi į realios interneto svetainės neegzistuojantį posritį, pavyzdžiui, http://webmale.google.com. Tokiu atveju yra vaizduojami kompanijų Earthlink ir Barefruit reklaminiai pranešimai, tačiau interneto naršyklės antraštėje rodoma, kad tai oficialus Google tinklalapis.
Paaiškėja, kad visų posričių saugumas priklauso nuo Barefruit kompanijos serverių saugumo, kuris nebuvo idealus. Reklaminių žinučių puslapiai buvo pažeidžiami JavaScript kodo įterpimo atakai. Įsilaužėliams reikėjo sukonstruoti specialią nuorodą į neegzistuojantį posritį. Aplankę tokią nuorodą, vartotojai matytų įsilaužėlių pateiktą turinį. Saugumo tyrinėtojas pademonstravo būdą kaip įterpti YouTube filmuką į Facebook ir PayPal vardų sritis, tačiau įsilaužėlis galėtų sėkmingai įterpti kenkėjiškas programas bei pasisavinti tapatybę.
Kaminsky teigimu, Earthlink nėra
vienintelė kompanija vietoj klaidos pranešimų demonstruojanti reklamą, panašiai
elgiasi Verizon, Time Warner, Comcast ir Qwest interneto paslaugų
tiekėjai.
