Když uživatel zadá doménové jméno do svého prohlížeče (například, když se chce přihlásit do online bankovnictví nebo firemního informačního systému), DNS server obvykle vrací IP adresu, která odpovídá dané doméně. Uživatel je pak přesměrován na správnou webovou stránku. Při DNS poisoning však útočník záměrně upraví záznamy v DNS, takže místo správné IP adresy vrací falešnou IP adresu. Tato falešná IP adresa vede na škodlivou stránku pod kontrolou útočníka.
Tento typ útoku je obzvláště nebezpečný, protože je často obtížně detekovatelný a může ovlivnit velké množství uživatelů. Důsledky mohou být závažné: útočníci mohou získat citlivé informace, jako jsou přihlašovací údaje a finanční data, nebo šířit malware.

DNS poisoning je zvláště znepokojivý v kontextu rostoucího počtu online aplikací, které firmy využívají. Podle statistik se v roce 2023 až 88 % firem setkalo s nějakou formou DNS útoků, což činí tento druh útoku jedním z největších bezpečnostních rizik pro rok 2024.

Nedávné incidenty

Nedávným příkladem DNS útoku je incident, kdy aplikace DeFi provozované na platformě Squarespace čelily bezpečnostním rizikům po útoku zaměřeném na únos DNS. Svět kryptoměn se tak opět ukázal být atraktivním cílem pro kybernetické útočníky.Další případ zahrnuje útok DNS poisoning na úrovni poskytovatele internetových služeb (ISP). Čínská hackerská skupina StormBamboo využila tento útok k šíření malwaru a k pokusům o infikování zákazníků.

Ochrana proti DNS poisoningu

Proti DNS poisoning se lze bránit několika způsoby, ale žádná metoda není zcela spolehlivá:

• DNSSEC (Domain Name System Security Extensions) je rozšíření DNS, které přidává digitální podpisy k DNS záznamům a zajišťuje jejich integritu. Nicméně i DNSSEC není stoprocentní ochranou proti všem útokům.
   
• Protokoly DNS over HTTPS (DoH) a DNS over TLS (DoT) poskytují šifrování DNS dotazů a odpovědí, čímž ztěžují útočníkům manipulaci s daty během jejich přenosu. To výrazně snižuje riziko, že útočník bude schopen vložit falešnou DNS odpověď.

Důležité je také pravidelně aktualizovat a chránit samotné DNS servery, protože útoky často cílí přímo na ně. Používání spolehlivých a bezpečných DNS resolverů, jako jsou Google DNS nebo Cloudflare DNS, může pomoci, ale ani to není zárukou úplné bezpečnosti, jak ukázal nedávný útok na ISP.

Útoky typu DNS poisoning se mohou provádět buď jako klasický MITM (Man-in-the-Middle) útok, kde útočník zprostředkovává komunikaci mezi uživatelem a DNS serverem, nebo prostřednictvím hacku DNS serveru či uživatelského zařízení, případně jako DNS cache poisoning prostřednictvím škodlivého spamu.

Řešení pomocí Next-Generation Firewallů a DNS Security

Klíčovou roli v ochraně proti DNS poisoning a podobným útokům hrají Next-Generation Firewally (NGFW) díky pokročilým funkcím DNS Security. Zde jsou některé z možných přístupů:

1. DNS Filtering: NGFW mohou provádět pokročilé filtrování DNS dotazů a blokovat přístup k známým škodlivým doménám. Tento přístup využívá aktuální databáze hrozeb a dynamické aktualizace, aby bylo zajištěno, že blokování je vždy relevantní.
    
2. Inspekce DNS Trafficu: NGFW mohou analyzovat DNS provoz v reálném čase a detekovat podezřelé vzorce, jako jsou neobvyklé dotazy nebo odpovědi, které by mohly indikovat pokus o DNS poisoning.
    
3. Zabezpečení DNS resolverů: NGFW umožňují integraci s bezpečnými DNS resolvery a mohou zajišťovat, že všechny DNS dotazy procházejí přes důvěryhodné zdroje. Tento krok může výrazně snížit riziko manipulace s DNS záznamy.
    
4. Zajištění integrity pomocí DNSSEC: NGFW mohou být konfigurovány tak, aby vyžadovaly DNSSEC validaci pro všechny DNS odpovědi. Tento přístup zajišťuje, že DNS záznamy nebyly pozměněny a jsou autentické.
    
5. Ochrana před MITM útoky: NGFW mohou nasadit techniky detekce a prevence MITM útoků, čímž zajistí, že komunikace mezi uživatelem a DNS serverem zůstane bezpečná a nelze ji snadno přerušit nebo změnit.
    
6. Použití Threat Intelligence: Integrace NGFW s platformami Threat Intelligence umožňuje identifikovat nové a rozvíjející se hrozby, včetně těch zaměřených na DNS, a rychle reagovat na nově objevené techniky útoků.

Implementace těchto opatření může výrazně zvýšit úroveň bezpečnosti a snížit riziko úspěšného DNS poisoning útoku.

Petr Zahálka
Autor je obchodním ředitelem Thein Security.