Wyrafinowany atak na największych dostawców poczty elektronicznej

dodał 11 września 2014 o 10:36 w kategorii Prywatność  z tagami:
Wyrafinowany atak na największych dostawców poczty elektronicznej

Wygląda na to, że w ciągu ostatniego roku bliżej niesprecyzowana część poczty wysyłanej na skrzynki w domenach Google, Yahoo czy Microsoftu mogła przechodzić przez podstawione serwery. Kto, jak i po co mógł prowadzić taki atak?

Badacze zespołu CERT przy Uniwersytecie Carnegie Mellon odkryli ślady wstrzykiwania błędnych adresów IP serwerów pocztowych do pamięci podręcznej serwerów DNS. Proszą o pomoc w ustaleniu zarówno przebiegu, jak i sprawców ataków.

Ktoś zatruwa pamięć serwerów

Od wielu lat znane są ataki na serwery DNS polegające na wstrzykiwaniu do ich pamięci podręcznej nieprawidłowych informacji (cache poisoning). Serwery DNS, zapytane o adres IP przypisany do nazwy domenowej, nie sprawdzają za każdym razem odpowiedzi u źródła, tylko korzystają z wcześniej otrzymanych danych. Tymczasową listę zapamiętanych adresów przechowują w pamięci podręcznej. Dzięki różnym sztuczkom czasem możliwe jest podrzucenie konkretnemu serwerowi DNS błędnego adresu, dzięki czemu można przejąć cudzy ruch. Obecnie tego typu ataki nie są częste, gdyż znane błędy na nie pozwalające zostały w większości przypadków wyeliminowane.

Zespół CERT od dawna monitorował sieć pod kątem podobnych przypadków. W tym celu odpytywał serwery DNS i porównywał ich odpowiedzi. Nie licząc przypadków np. usług Content Delivery Network, mało jest scenariuszy, w których dwie odpowiedzi serwerów DNS na to samo zapytanie powinny się różnić. Analizując takie rozbieżności badacze natrafili na niepokojące zjawisko.

Serwery pocztowe ofiarami ataku

Choć liczba serwerów, które stały się celem „zatruwaczy”, była niewielka, to ich znaczenie może być bardzo duże z uwagi na pełnioną przez nie rolę. Okazało się, że są to głównie serwery pocztowe największych operatorów darmowej poczty elektronicznej takich jak Google, Microsoft czy Yahoo. Atakujący, wstrzykując adres IP swojego serwera do pamięci serwera DNS, mogli w ten sposób otrzymać część ruchu pocztowego przeznaczonego dla atakowanych serwerów. Aby uniknąć szybkiego wykrycia mogli następnie ten ruch pocztowy przesyłać dalej do serwerów docelowych.

Scenariusz ataku (źródło: cert.org)

Scenariusz ataku (źródło: cert.org)

Złośliwy serwer może w ten sposób nie tylko zapoznawać się z treścią każdej nieszyfrowanej korespondencji, ale także modyfikować ją w dowolny sposób – np. podmieniając numery rachunków bankowych czy wstrzykując złośliwe oprogramowanie.

Pytania bez odpowiedzi

Niestety CERT był w stanie jedynie zaobserwować fakt przeprowadzenia ataku. Nie potrafił do tej pory ustalić w jaki sposób dochodzi do wstrzyknięcia fałszywych adresów IP, nie wiadomo też, kto prowadzi atak ani w jaki sposób dotyka on korespondencję. Nie opublikowano także listy atakowanych serwerów DNS, a jedynie listę adresów IP, które brały udział w ataku jako fałszywe serwery pocztowe. Jako że przekierowanie poczty przez inny serwer powinno zostawić ślad w nagłówkach wiadomości, można na podstawie opublikowanej listy IP zweryfikować, czy nasza poczta przychodząca nie była przedmiotem opisanego powyżej ataku. Na pełne wyjaśnienie tej tajemniczej sprawy przyjdzie nam pewnie jeszcze trochę poczekać.