vendredi 3 juillet 2020    || Inscription
BanniereNews
 
 
Article publié dans le n°11 de Mag Securs : décembre 2005 - janvier et février 2006.

Le DNS établit la correspondance entre un nom de domaine et une adresse IP. Dès lors, s´il on parvient à prendre le contrôle de cette machine, on peut échanger l´accès entre deux sites pour tous les utilisateurs sollicitant la machine DNS en question. Une attaque redoutable permettant de tromper une vaste population et de favoriser le phishing. Philippe Humeau, Directeur Technique de NBS System, dresse un état du problème et présente différentes solutions.


L´homme parle français, la machine IP : le DNS traduit

Un « Domain Name Server », ou DNS, permet d´assigner à un nom de domaine une adresse IP et inversement. Ainsi, le nom de domaine www.google.com est assigné (entre autre) à l´adresse 66.102.9.104 et réciproquement l´adresse 66.102.9.104 est associée au nom de domaine www.google.com. Le plan de numérotation IP devient ainsi compréhensible en associant adresse IP et marque commercial ou nom institutionnel à travers les appellations enregistrées dans les DNS. L´homme de la rue retient le nom des sites sans même savoir ce qu´est une adresse IP.

Les DNS est un équipement que tout ISP met à disposition de ses abonnés et dont l´adresse constitue l´un des paramètres d´accès configuré sur le poste utilisateur. Les réseaux d´entreprise d´une certaine importance peuvent de même comporter leur propre DNS. Elles le mettent à jour en interrogeant le DNS d´un ISP ou les « root servers » de l´Internet, sorte de DNS primaires mettant à jour les DNS secondaires sur l´ensemble du réseau Internet. Ce sont les piliers de l´Internet, la référence absolue. Ils sont au nombre de 13 et sont contrôlés et exploités par les plus grandes société ou instances dirigeantes d´Internet sur la planète.

Le cache Poisoning

En 1993, Christophe Schuba, Ingénieur chez SUN, professeur et participant à l´IEEE, a été le premier à alerter les administrateurs sur le problème du « DNS cache Poisoning ». Il s´agissait d´envoi d´informations surnuméraire à une requête adressée à un DNS. Les informations supplémentaires peuvent être stockées dans le cache, c´est-à-dire une mémoire tampon, du DNS l´incitant, lors des requêtes suivantes, à répondre de façon erronée Le nom de domaine ou la machine demandée est alors remplacé par un autre nom ou une autre machine.

En 1997, les numéros de séquence des réponses sont devenus « prédictibles » pour les attaquants. Ceux-ci avaient la possibilité de répondre à la place du serveur DNS quand ils détectaient que celui-ci était interrogé par une machine. Le logiciel de DNS BIND, de loin le plus répandu, incrémente de 1 le numéro des transactions à chaque nouvelle requête. Il suffit donc à l´attaquant d´essayer des numéros de séquence (1,2, 3, 4, 5, etc ...), pour trouver rapidement le bon et marquer ces paquets avec le numéro correspondant tout en répondant à la place du DNS.

Une vulnérabilité de BIND

En 2002, malgré le fait que l´équipe de BIND avait introduit un aléa dans le numéro de séquence des paquets, une attaque redoutable et de grande discrétion, car faisant transiter peu de caractères, a vue le jour sous le nom de « birthday attack ».

En émettant quelques centaines de paquets de requêtes à un serveur vulnérable, et dans le même temps en envoyant le même nombre de réponses « spoofées », on obtient une probabilité maximale de trouver le numéro de transaction. Ce nom d´attaque « anniversaire » vient d´une constatation statistique qui veut que dans un groupe de 23 personnes, il y a plus d´une chance sur deux pour que deux d´entre elles aient la même date d´anniversaire, exprimée en jours et mois. Cet élément statistique a donné son nom à toute une classe d´attaque par force brute.

Il existe peu d´éditeurs de logiciels pour DNS. La grande majorité des réseaux utilisent BIND, Berkley Internet Name Domain software, qui est, en particulier pour sa version 8, vulnérable à cette attaque. Le « réservoire » dans lequel les numéros de réponses sont tirés au hasard est trop petit. Il est possible de trouver le numéro tiré au hasard et ainsi de tromper le DNS en empoisonnant son cache avec de fausses réponses.

Le DNS primaire d´une zone (par exemple le DNS de google qui répond aux autres DNS lui demandant l´adresse de www.google.com) ne pourra être corrompu s´il est interrogé directement. Seuls les DNS « locaux » de l´entreprise ou d´un ISP, qui servent de relais et utilisent un système de cache pour répondre plus rapidement peuvent être la cible de ces attaques. Les entreprises et ISP détenant des DNS doivent d´ailleurs réfléchir à leur responsabilité vis-à-vis des utilisateurs en cas d´attaque.

“Des risques catastrophiques de phishing”

Si des utilisateurs souhaitent accéder à un domaine et arrivent sur une page différente, car le DNS aura été empoisonné, mais toutefois similaire et contrefaite le risque pour l´usager est maximum. De bonne foi, il se fera avoir. Tant pour un site bancaire, que pour un site commercial. Les enjeux en terme de sécurité, de business et de finance sont évidents. Un site pourra par exemple ressembler à celui d´une banque, avoir son logo, son adresse en https, et toutes les caractéristiques normales, mais s´avérer être un site pirate.

Que faire ?

Les solutions ne sont pas simples. Une des alternatives à BIND, DJBNS, est théoriquement sensible à la même vulnérabilité, quoiqu´il soit beaucoup plus complexe de le tromper. BIND 9, lui aussi, propose une meilleure sécurité sans éliminer complètement le risque. Les réservoirs de nombres aléatoires sont plus grands, mais le risque n´est pas exclu. L´attaque est plus complexe et ses chances de « succès » de l´ordre de 20% au lieu de 99%. Certains firewalls permettent de limiter le nombre de requêtes dans un temps donné. Cela retarde l´attaque, mais ne peut pas être mis en ?uvre dans tous les environnements.

La seule méthode réellement efficace nous paraît d´avoir deux DNS. Un premier, publique pour répondre aux requêtes concernant le domaine de l´entreprise, et un second, privé, pour répondre aux questions DNS des stations clientes du LAN qui veulent accéder à Internet. Ce second DNS interroge directement celui de l´ISP de l´entreprise ou même les « root servers ». Ces derniers sont placés sous très haute surveillance et il est extrêmement difficile de les attaquer L´attaque du DNS privé exige que l´attaquant soit lui-même au sein du réseau de l´entreprise ou se soit octroyé des droits équivalents par rebond. Le réseau de l´entreprise doit donc être lui-même sécurisé.

Une bonne configuration de DNS reste un travail d´expert.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142936
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI