Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ 7.6.4 Förvanskning av DNS-cache Att attackera en DNS-resolver och förvanska DNS-cacheinformation (eng. DNS cache poisioning) tillhör en av de mer allvarligare attackerna mot DNS-systemet. Attacker mot DNS-cache har varit kända sedan länge. De forskningsresultat som Bellovin fick undanhöll han från att publicera 1990. Först flera år senare, år 1995, valde han att publicera uppgifterna 91 . Problemställningen som sådan visar ju hur svårt det ibland kan vara att hantera kunskapen om säkerhetsproblem i stora infrastrukturkomponenter – skall vi gå ut med det nu och exponera infrastrukturen eller försöka arbeta i tysthet i bakgrunden och rätta till problemet. Ett känt exempel på storskalig förvanskning av DNS-cache utfördes 1997 av Eugene Kashpureff 92 , ägaren till den alternativa registrerings AlterNIC. 7.6.5 Otillåtet övertagande av domännamn En metod att ta över den tekniska kontrollen av ett domännamn är att påverka den administrativa hanteringen av en domänen. Genom en obehörig s.k. ompekning kan kontrollen överföras från en legitim användare till en icke-legitim användare. När väl kontrollen över domänen är överförd kan förrövaren helt kontrollera vart domännamnet skall peka, tex till en webb som används för bedrägerier eller för att sprida desinformation som tredje part uppfattar som om den kommer från den ursprunglige innehavaren. Ett känt exempel på ett domännamnsövertagande är övertagandet av www.takedown.com 93 , en webbplats för boken takedown vilken handlar om hackern Kevin Mitnick. Någon lyckades via övertalning få domännamnsoperatören Network Solutions att ändra domännamnet från takedown.com till takendown.com 7.6.6 Övertagande av begagnat domännamn Ett domännamn är en handelsvara som kan vara såväl ny som begagnad. Vissa typer av problem kan uppstå då ett införskaffat domännamn tidigare har nyttjats av någon annan person eller annan organisation. Några vanliga problem med begagnade domännamn inkluderar: • Domännamnet kan existera i loggar som sent kommer att granskas för vissa säkerhetsproblem, • Domännamnet kan finnas upptaget på spärrlistor i brandväggar, e-posthantering (spamskydd), med mera • E-postadresser kan finnas registrerade i gamla kundregister, etc 7.6.7 Namnnappning Domännamnsstöld, oftast kallat namnnappning, är ett administrativt och juridiskt problem som uppstått när domännamnssystemet blivit spritt och namnrättigheter blivit en allt 91 Bellovin, Steven M (1995). Using the Domain Name System for System Break-in. http:// www.cs.columbia.edu/~smb/papers/dnshack.ps 92 Department of Justice (1998) Pressmeddelande. Eugene E. Kashpureff Pleaded Guilty to Unleashing Software on the Internet That Interrupted Service for Tens of Thousands of Internet Users Worldwide. http://www.usdoj.gov/criminal/cybercrime/kashpurepr.htm 93 17 2600 Magazine Archive. http://www.2600.com/offthehook/1996/0296.html Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 118 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ intressantare fråga. Registreringar av namn som kan misstänkas tillhöra andra rättighetshavare är något som historiskt både utförts som affärsidé, som del i aktivism eller av andra anledningar. Några historiskt kända fall av namnnappning är: • En anställd vid teleoperatören Sprint registrerar 1994 ett domännamn i konkurrenten MCI:s namn, MCI.net 94 . • Adam Curry, en anställd videojockey på musikkanalen MTV registrerade på privat initiativ domänen mtv.com. Senare domstolsöverläggningar 95 mellan MTV och Curry avslutades med förhandlingar utanför rätten. I Sverige registrerade företaget Control Alt Delete under mitten av 1990-talet en mängd domännamn som överrensstämde med kända personnamn, företagsnamn eller varumärken 96 . Enligt uppgift så omfattades namn som exempelvis Swedish Match, Bonniers, Folksam, Wallenberg med flera registrerades i .com-domänen av Control Alt Delete. Vissa företag som Folksam och Swedish Match valde en juridisk process om namnrättigheterna, andra företag har valt att köpa relevanta domännamn av Control Alt Delete. För de flesta domäner gäller fri registrering av domännamn. Dock påverkar namnrättigheter vem som i slutändan har rätt till ett visst domännamn enligt principen att varumärkesinnehavare har företräde. För .se-domänen tillämpas i de flesta domännamnstvister en förenklat tvistlösning, såkallade ATF-förhandlingar 97 (Alternativt tvistlösningsförfarande), i stället för allmän domstol. 7.6.8 Fulregistreringar Vissa organisationer registrerar medvetet domännamn som har stora likheter med andra populära eller viktiga domännamn. Likheterna brukar vanligen bestå i olika typer av felstavningar, sannolika varianter på namn eller att namnet registreras i en annan domän. Fulregistreringar (eng. typo squatting) kan i ett senare skede, det egentliga attackskedet, användas för en mängd olika typer av attacker, exempelvis för att sprida skadlig kod mot de användare som kopplar upp sig mot webbservern. En annan anledning till fulregistreringar. är s.k mannen-i-mitten-attacker där det fulregistrerade domännamnet nyttjas på en webbserver. Webbtjänsten som utges vara en viss tjänst, men inloggningsuppgifter stjäls eller transaktioner förvanskas innan de når den egentligt avsedda webbtjänsten. Fulregistreringar kan ske av enstaka personer eller brottsliga organisationer som utför utför massiva mängder av fulregistreringar. 94 Donelan, Sean (2002) Timeline of events with the Domain Name System. http://www.donelan.com/ dnstimeline.html 95 United States District Court, S.D. New York (1994) MTV NETWORKS, A DIVISION OF VIACOM INTERNATIONAL, INC., Plaintiff, v. Adam CURRY, Defendant. http://www.loundy.com/CASES/ MTV_v_Curry.html 96 Nugin, Isabelle (2000). WIPO:s tvistlösningssystem för tvister gällande domännamnsstölder. http:// www.handels.gu.se/epc/archive/00003141/01/200050.pdf 97 Tvistlösning. http://www.iis.se/domannamn/tvistlosning.shtml Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 119 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
Page 57 and 58:
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 117: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 139: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
show all

Lectures for 2008 - KTH

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?