Что такое DNS-атака и как не стать её жертвой

В результате DNS-атаки 24 апреля из кошелька MyEtherWallet было украдено криптовалюты на $150 000. Многие пользователи лишились своих ETH и ERC20-токенов.

Давайте разберёмся, что такое DNS-атака, какие угрозы она несёт и как защитить себя от взлома.

DNS-сервер (от domain name system) — это приложение, используемое для ответов на DNS-запросы (в этом случае клиент передаёт серверу задание на поиск IP-адреса), или хост, на котором запущено приложение. Зачастую под DNS-сервером подразумевается сервер, отвечающий за какую-либо определённую зону.

С DNS-атаками связано три типа угрозы:

1. подмена доверенного объекта сети и сетевых запросов (ответов);
2. перехват любого проходящего трафика данного ресурса;
3. нарушение доступности ресурсов.

Если с пунктом 3 всё понятно, то пункты 1 и 2 стоит разобрать на примерах.

Предположим, клиент (то есть мы) собирается авторизоваться на известном ему сайте, в безопасности которого нет смысла сомневаться, и планирует совершить некую операцию. Он отправляет со своего компьютера DNS-запрос и получает ложный DNS-ответ с принадлежащего хакеру IP-сервера, на котором развёрнут тот же ресурс, который нужен пользователю.

Залогинившись на сайте злоумышленника, юзер, по сути, передаёт свои логин и пароль хакеру, которые тот перенаправляет на настоящий сервер. Получив ответ об успешной авторизации, преступник передаёт его обратно на компьютер жертвы, тем самым становясь посредником между настоящим ресурсом и невнимательным пользователем. Теперь злоумышленник может не только видеть весь трафик, но и подменять какие угодно запросы.

После массового внедрения систем отражения и противодействия DoS/DDoS-атакам в 2011 году схемы DNS-атак очень усложнились, поэтому мы не будем их подробно описывать. Отметим лишь, что все они привязаны к классическим элементам информационной безопасности: целостности, доступности, конфиденциальности.

Как же защититься от таких видов взлома?

Никакая сложность пароля, даже если это набор из 64 символов на 10 разных языках, не спасёт пользователя, если тот ввёл свои данные на заражённом DNS-сервере. Таким образом, рядовой пользователей не способен защитить себя сам. Защищаться должны разработчики тех ресурсов, на которые ведутся атаки, а мы можем лишь надеяться и верить, что владельцы используемых нами приложений и сайтов позаботились о своей безопасности.

Но всё-таки есть и хорошие новости: DNS-атаку можно распознать.

Для того чтобы обнаружить DNS-атаку, не обязательно быть специалистом в IT-технологиях. Первая подсказка — это префикс «https://» в адресной строке браузера. Он должен быть зелёным, если ресурс надёжен. Если он краснеет или, как это часто бывает, сам браузер сообщает вам, что дальнейшее использование ресурса небезопасно, то, скорее всего, URL-адрес, к которому вы пытаетесь подключиться, заражён. Игнорирование перечисленных знаков — непростительная халатность, даже если домен перепроверен несколько раз.

Хорошим напоминанием о том, что надо быть внимательнее и осмотрительнее, служат слова одной из жертв атаки на MyEtherWallet (и номинанта на премию Дарвина):

Хотя каждая часть моего тела говорила мне не пытаться войти в систему, я всё же это сделал.

Вероятно, из-за бесчисленного количества уведомлений и спама можно упустить такую важную деталь, как предупреждение о небезопасности подключения, но обращать внимание на такие «мелочи» всё же стоит.

Единственный способ стать жертвой DNS-атаки — это продолжать использовать непринятый сертификат.

Следует сохранять бдительность и контролировать сайты, которые вы посещаете, желательно также проверять доменный адрес, а если вас просят повторно ввести пароль, то уместно заподозрить неладное. Если в безопасности подключения есть какие-либо сомнения, на помощь приходит сайт whoismydns.com, где можно проверить IP-адрес сервера. Кроме этого, к сожалению, средний пользователь может мало что сделать, поскольку отслеживание такого рода хакерских атаки — это всё-таки уровень разработчиков.

Учитывая риски хранения криптовалюты на централизованных биржах, а также взаимодействия с такими ресурсами, как MyEtherWallet, и децентрализованными биржами вроде Etherdelta (последняя тоже стала жертвой DNS-атак), у трейдеров и инвесторов остаётся не так много вариантов, кроме повышенной бдительности. Блокчейн-проекты, такие как REMME, в данный момент работают над технологией, которая будет предупреждать пользователей о DNS-атаках, но она ещё не готова.

А пока надежный способ гарантировать сохранность криптографического ключа — это хранить его в защищённом аппаратном кошельке, который не подключён к интернету. Но для совершения платежей всё же придется периодически выходить в сеть.