ICANN wzywa do pełnego wdrożenia DNSSEC

W lutym 2019 roku ICANN (Internet Corporation for Assigned Names and Numbers) wezwał do pełnego wdrożenia DNSSEC w celu ochrony Internetu. ICANN uważa, że istnieje ciągłe i znaczne ryzyko dla kluczowych części infrastruktury systemu nazw domen (DNS).

Według tej organizacji ataki na infrastrukturę DNS są szczególnie widoczne od 2017 roku.

Od lutego 2017 do stycznia 2019 hakerom głównie z Iraku udało się skompromitować kluczowe komponenty infrastruktury DNS dla ponad 50 firm z Bliskiego Wschodu i agencji rządowych w takich krajach jak Albania, Cypr, Egipt, Irak, Jordania, Kuwejt, Liban, Libia, Arabia Saudyjska i Zjednoczone Emiraty Arabskie.

Organy ścigania i organy bezpieczeństwa narodowego w wielu krajach badają te zagrożenia. Inżynierowie DNS oraz eksperci ds. cyberbezpieczeństwa również aktywnie pracują nad identyfikacją rodzajów przeprowadzanych włamań, jednak nie są jednoznacznie znane ich źródła.

Niektóre ataki skierowane na DNS polegają na wprowadzaniu nieautoryzowanych zmian w delegacji nazwy domeny, zastępując adresy właściwych serwerów adresami komputerów kontrolowanych przez atakujących. Ten szczególny rodzaj ataku, który jest kierowany na DNS, działa tylko wtedy, gdy nie jest używany DNSSEC (Domain Name System Security Extensions). DNSSEC to technologia opracowana w celu ochrony przed modyfikacjami odpowiedzi DNS poprzez weryfikację autentyczności pochodzenia danych zawartych w odpowiedzi. W tym przypadku, jeśli serwer nazw ustali, że rekord adresu dla danej domeny nie został zmodyfikowany podczas przesyłania, pozwala użytkownikowi odwiedzić witrynę. Jeśli jednak ten rekord został w jakiś sposób zmodyfikowany lub nie pasuje do żądanej domeny, serwer nazw blokuje użytkownikowi dostęp do fałszywego adresu.

Chociaż DNSSEC nie może rozwiązać wszystkich problemów związanych z atakami na DNS, gdy jest używany, można w prosty sposób wykryć nieautoryzowane modyfikacje DNS, a domeny i ich użytkownicy są chronieni przed błędnym przekierowaniem.

Po przeprowadzeniu szczegółowego przeglądu systemu w lutym 2019 r. ICANN poinformował, że żaden z serwerów głównych DNS nie został naruszony. ICANN skontaktował się z Komitetem Doradczym ds. Systemu Serwera Root (RSSAC) aby potwierdzić, że nie ma przesłanek wskazujących na skuteczny atak. Do tej pory żaden operator serwera root nie powiadomił o wykryciu naruszenia.

ICANN wezwał do pełnego wdrożenia rozszerzeń DNSSEC dla wszystkich niezabezpieczonych nazw domen. Organizacja potwierdza również swoje zaangażowanie w podejmowanie wspólnych wysiłków w celu zapewnienia bezpieczeństwa, stabilności i odporności globalnych systemów identyfikacji internetowych.

Jako jeden z wielu podmiotów zaangażowanych w zdecentralizowane zarządzanie Internetem, ICANN jest szczególnie odpowiedzialna za koordynację najwyższego poziomu DNS, aby zapewnić jego stabilne i bezpieczne działanie.

ICANN już od dawna podkreśla znaczenie DNSSEC i wzywa do pełnego wdrożenia tej technologii we wszystkich domenach. Wprawdzie wg ICANN nie rozwiąże to wszystkich problemów związanych z bezpieczeństwem w Internecie, ale technologia DNSSEC ma na celu zapewnienie, że internauci docierają do właściwego miejsca docelowego w sieci. DNSSEC jest także pomocny w zapobieganiu tak zwanym atakom typu "man in the middle", gdzie użytkownik jest nieświadomie przekierowywany do potencjalnie złośliwego oprogramowania. Uzupełnia on inne technologie, takie jak Transport Layer Security (najczęściej używany w HTTPS), które chronią komunikację między użytkownikiem końcowym a domeną.

W odpowiedzi na zgłoszenia ataków na kluczowe elementy infrastruktury DNS, ICANN zaproponował pakiet środków bezpieczeństwa dla przedstawicieli branży nazw domen, rejestrów, rejestratorów, sprzedawców i innych powiązanych podmiotów, aby aktywnie podjąć działania w celu ochrony własnych systemów oraz ich klientów dostępnych za pośrednictwem DNS. Chodzi o tzw. „higienę danych”. ICANN w szczególności rekomenduje m.in.:

  • dbanie o aktualizację łatek bezpieczeństwa systemów
  • systematyczne przeglądanie logów systemowych pod kątem nieautoryzowanych dostępów do systemów na prawach administratora
  • przegląd uprawnień dostępów dla użytkowników na prawach administratora
  • sprawdzanie integralności każdego rekordu DNS i historii zmian tych rekordów
  • wymuszanie odpowiedniej złożoności hasła, w szczególności jego długości
  • ochronę haseł i nieudostępnianiem ich innym użytkownikom
  • niezapisywane ani nieprzesyłane haseł otwartym tekstem
  • wymuszanie regularnych i okresowych zmian haseł
  • wymuszanie blokowania haseł
  • upewnienie się, czy rekordy strefy DNS są podpisane DNSSEC, a procedury rozpoznawania nazw DNS przeprowadzają walidację DNSSEC
  • dbanie, by uwierzytelnianie wieloskładnikowe było włączone dla wszystkich systemów, szczególnie dla dostępu administratora
  • upewnienie się, że domena poczty e-mail ma politykę DMARC z SPF i / lub DKIM oraz że wymuszane są takie zasady dla innych domen w systemie poczty e-mail.
     

Jako koordynator najwyższego poziomu DNS, ICANN pomaga wykrywać i łagodzić zagrożenia związane z DNS. Według ICANN wszyscy członkowie ekosystemu nazw domen muszą ze sobą współpracować, aby tworzyć lepsze narzędzia i zasady działania w celu zabezpieczenia DNS i innych krytycznych operacji w Internecie.

Rejestr domeny .pl już na przełomie 2011 i 2012 r. rozpoczął zabezpieczenie domeny .pl protokołem DNSSEC, a w 2012 r. udostępnił usługę DNSSEC Abonentom. Obecnie ok. 500 tys. domen .pl jest zabezpieczonych DNSSEC. Oznacza to, że wśród europejskich domen krajowych najwyższego poziomu zabezpieczonych w ten sposób domena. pl plasuje się na 4 miejscu.

Do sprawdzenia, czy domena jest zabezpieczone przez DNSSEC Rejestr domeny .pl rekomenduje używanie narzędzia DNSVIZ.net.

Politykę bezpieczeństwa i zasady postępowania NASK dotyczące zabezpieczonej przez DNSSEC strefy domeny krajowej .pl opisuje dokument DNSSEC Polityka i Zasady Postępowania.

Na podstawie materiałów ICANN i Krebs on Security, opracował Tomasz Szladowski.