Norėdami pasipelnyti iš klaidingai įvestų interneto svetainių adresų, keli didžiausi JAV interneto paslaugų tiekėjai atvėrė milžinišką saugumo spragą, kuri leido įsilaužėliams naudoti web adresus, priklausančius „eBay“, „PayPal“, „Google“ ir „Yahoo“, faktiškai bet kuriam didesniam portalui.
Saugumo spraga buvo tyliai pašalinta, kai „IOActive“ saugumo ekspertas Dan Kaminsky apie problemą pranešė interneto paslaugų tiekėjui „Earthlink“ bei Britanijos kompanijai „Barefruit“, kuri teikė apsikeitimo reklaminėmis žinutėmis paslaugas.
„Interneto saugumas dabar priklauso nuo atsitiktinio reklaminių žinučių serverio, priklausančio kažkokiai Britanijos kompanijai“ – teigė Kaminsky.
Problema atsiranda, kai interneto paslaugų tiekėjai suardo standartinį DNS (Srities vardų struktūra) sistemos, atsakingos už žodinių vardų vertimą į skaitmeninius, veikimą. Kai vartotojai lankosi interneto svetainėje, pavyzdžiui Critical.lt, DNS sistema priskiria vardui jo IP adresą, tarkim 10.10.10.10, tačiau jeigu svetainės vardas neegzistuoja, DNS sistema praneša apie tai naršyklei, kuri dažniausiai atvaizduoja paprastą klaidos pranešimą.
Pradedant nuo 2006 metų rugpjūčio mėnesio, „Earthlink“ kompanija vietoj to, kad gražintų NXDOMAIN (neegzistuojantis srities vardas) atsakymą, pateikdavo Barefruit kompanijai priklausančios apsikeitimų reklama sistemos serverio IP adresą. Naršyklei aplankius šį puslapį, vartotojui buvo rodomi reklaminiai pranešimai, siūloma pasirinkti alternatyvius tinklalapius arba pasinaudoti paieška.
Grėsmė iškyla, kai vartotojas kreipiasi į realios interneto svetainės neegzistuojantį posritį, pavyzdžiui, http://webmale.google.com. Tokiu atveju yra vaizduojami kompanijų „Earthlink“ ir „Barefruit“ reklaminiai pranešimai, tačiau interneto naršyklės antraštėje rodoma, kad tai oficialus „Google“ tinklalapis.
Paaiškėja, kad visų posričių saugumas priklauso nuo „Barefruit“ kompanijos serverių saugumo, kuris nebuvo idealus. Reklaminių žinučių puslapiai buvo pažeidžiami „JavaScript“ kodo įterpimo atakai. Įsilaužėliams reikėjo sukonstruoti specialią nuorodą į neegzistuojantį posritį. Aplankę tokią nuorodą, vartotojai matytų įsilaužėlių pateiktą turinį. Saugumo tyrinėtojas pademonstravo būdą kaip įterpti „YouTube“ filmuką į „Facebook“ ir „PayPal“ vardų sritis, tačiau įsilaužėlis galėtų sėkmingai įterpti kenkėjiškas programas bei pasisavinti tapatybę.
Kaminsky teigimu, „Earthlink“ nėra vienintelė kompanija vietoj klaidos pranešimų demonstruojanti reklamą, panašiai elgiasi „Verizon“, „Time Warner“, „Comcast“ ir „Qwest“ interneto paslaugų tiekėjai.
Paieška archyve
