Tsina Netcom Falls Prey sa DNS Cache Pagkalason

Ang isa sa pinakamalaking ISP ng Tsina (mga tagapagkaloob ng serbisyo sa Internet) ay nahulog sa isang mapanganib na kahinaan sa sistema ng pag-uusap ng Internet, ayon sa seguridad vendor Websense.

Ang depekto, na inilarawan bilang isa sa mga pinaka-seryoso na nakakaapekto sa sa Internet, maaaring maging sanhi ng pag-redirect ng mga Web surfer sa mga mapanlinlang na Web site kahit na ang URL (Uniform Resource Locator) ay na-type nang tama sa address bar ng browser.

Natuklasan ng security researcher Dan Kaminsky, ang problema ay naka-root sa DNS (Domain Name System). Kapag ang isang gumagamit ay nag-type ng isang Web address sa isang browser, ang kahilingan ay papunta sa isang DNS server o cache, na nagbabalik ng kaukulang numerong IP (Internet protocol) address para sa isang Web site.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa ang iyong Windows PC]

Ngunit ang kapintasan ay nagpapahintulot sa DNS server na mapuspos ng maling impormasyon at direktang gumagamit sa mga nakakahamak na Web site. Ang pag-atake ng China Netcom ay partikular na kagiliw-giliw dahil nakakaapekto lamang ito sa mga nag-mispell sa ilang mga URL, sinabi ni Carl Leonard, tagapangasiwa ng seguridad na pananaliksik para sa European lab ng Websense.

Ang pinakabagong hack ay natuklasan ng Beijing lab ng Websense, ang ilan sa mga mananaliksik ay gumagamit ng China Netcom ang kanilang ISP, sinabi ni Leonard. Nakita ng Websense ang iba pang pag-atake ng DNS, ngunit pinili na isapubliko ang partikular na ito dahil sa kagiliw-giliw na pagpapatupad nito, sinabi niya.

Ang mga Hacker ay binago ang isa sa mga DNS server ng China Netcom upang i-redirect lamang ang mga gumagamit na nag-type, halimbawa, sa halip ng gogle.cn kaysa google.cn. Sa ganoong paraan, ang mas kaunting mga gumagamit ay nakadirekta sa mga malisyosong Web site, ngunit ang diskarte ay upang panatilihin ang pag-atake mas mababa profile upang hindi taasan ang pansin.

"Ang mga tagasulat ng malcode ay sinusubukan upang panatilihin sa ilalim ng radar," sinabi Leonard.

Ang mga biktima ay na-redirect sa mga nakakahamak na Web site - ang ilan sa mga ito ay aktibo pa rin - na nagsisikap na samantalahin ang mga kilalang kahinaan sa software tulad ng Realplayer ng multimedia player ng RealPlayer at Flash Player ng Adobe System.

Isa pang pagsasamantalang pagtatangka upang samantalahin isang problema sa isang kontrol ng ActiveX para sa Snapshot Viewer ng Microsoft, na ginamit upang tingnan ang mga ulat para sa Microsoft Access, isang pamanggit na programa ng database.

Kahit na ang Adobe, Microsoft at RealPlayer ay nagbigay ng mga patch para sa ilan sa mga kahinaan na ito, ang mga hacker ay nakikita pa rin ang mga pagkakataon. "Sinasabi sa amin ng mga tao na hindi na-apply ang mga patch," sabi ni Leonard.

Kung ang isang mapagsamantalang ay matagumpay, ang PC ay magda-download ng isang Trojan horse program na nagsasara ng mga update para sa antivirus software, sinabi ni Leonard. Sinabi ng Websense na ang China Netcom ngunit hindi sigurado kung ang DNS server ay na-patched.

Kaminsky at iba pang mga mananaliksik ay nag-coordinate ng isang napakalaking lihim na kampanya sa mga vendor upang i-patch ang kanilang software ng DNS, ngunit ang mga detalye kung paano magamit ang kapintasan ay leaked noong Hulyo 21 Gayunpaman, hindi lahat ng mga ISP ay may patched pa, paglalagay ng ilang mga gumagamit sa panganib. Gayundin, ang mga patch ay maaaring bawasan lamang ang posibilidad ng tagumpay ng isang pag-atake kaysa sa ganap na pag-secure ng isang DNS server laban sa isang atake, sinabi ni Leonard.

"Mayroong kailangang mas mahabang solusyon na magagamit," sabi ni Leonard. >