Vá lỗi DNS vẫn chưa đủ an toàn?

Một chuyên gia nghiên cứu bảo mật người Nga mới đây cảnh báo cài đặt các bản sửa lỗi Domain Name System (DNS) vẫn chưa đủ an toàn vẫn chưa đủ thoát khỏi mọi nguy cơ bị tấn công.

Trong một bài viết trên trang blog cá nhân, Evgeniy Polyakov tuyên bố đã phát triển thành công một mã khai thác mới có đủ khả năng chèn các thông tin định tuyến luồng giả mạo (bogus routing information) vào cả các máy chủ sử dụng phiên bản BIND mới nhất.

BIND là tên viết tắt của phần mềm mã nguồn mở Berkeley Internet Name Domain được ứng dụng rất rộng rãi trên các dòng máy chủ DNS. Phiên bản mới nhất BIND 9.5.0-P2 được phát hành ngày 2-8, tiếp tục cập nhật khắc phục đầy đủ lỗi sau bước sửa lỗi đầu tiên ngày 8-7.

Cả hai phiên bản BIND được phát hành ngày 8-7 và 2-8 đều bổ sung thêm tính năng lấy ngẫu nhiên cổng nguồn (source-port randonmization) tên máy chủ nhằm giảm thiểu nguy cơ "đầu độc cache" (cache poisoning) - kỹ thuật dùng để tấn công lỗi DNS nguy hiểm.

Mặc dù tuyên bố phát triển mã khai thác có thể tấn công cả những máy chủ sử dụng phiên bản BIND mới nhất nhưng Polyakov cũng thừa nhận phải mất ít nhất 10 tiếng đồng hồ liên tiếp thì hai chiếc PC được kết nối với máy chủ qua Gigabit Ethernet (GigE) mới có thể thực hiện thành công vụ tấn công.

"Để thực hiện thành công một vụ tấn công thì mã khai thác của tôi phải mất đến gần nửa ngày," chuyên gia Polyakov thẳng thắn thừa nhận trong bài viết trên trang blog cá nhân. "Nếu có trong tay kết nối GigE LAN, bạn cũng phải mất trọn một đêm mới có thể thực hiện thành công vụ tấn công".

Paul Vixie - Chủ tịch của Internet Systems Consortium Inc. (ISC) - khẳng định mã khai thác của Polyakov không phải là một hiểm họa và không thấm vào đâu so với hiểm họa hacker đầu độc các máy chủ DNS chưa được sửa lỗi.

"Tôi cho rằng khó một ai có đủ kiên nhẫn để hành hạ kết nối GigE LAN trong 10 tiếng đồng hồ liên tiếp chỉ để đầu độc cache của máy chủ DNS. Trong khi đó, thực tế hiện nay chỉ có kết nối LAN 10Mbps là dùng phổ biến. Bất kỳ máy chủ DNS nào được trang bị hệ thống tường lửa đều có thể ngăn chặn được hoàn toàn kiểu tấn công của Polyakov," ông Vixie khẳng định.