Systém DNS, ktorý je akýmsi adresárom internetu, už dlho sužujú škodlivé domény. Jeho správcovia – registrátori – majú len malú nádej, že objavia účinný prostriedok proti takémuto zneužívaniu. ESET predstavuje ochrannú technológiu na boj s daným problémom.
Systém DNS (Domain Name System) sa od začiatku 80. rokov používa na vyhľadávanie IP adries názvov domén, ktoré sa v súčasnosti najčastejšie zadávajú do panela s adresou v prehliadačoch, ale na ktoré sa takisto vo veľkej miere dopytujú aj aplikácie. Väčšina používateľov internetu si prácu, ktorú vykonáva DNS, pravdepodobne ani nevšimne, hoci takmer všetky naše aktivity na internete sa začínajú práve vyhľadávaním v tejto službe. Monitorovanie vyhľadávania v službe DNS môže poskytnúť komplexný prehľad o komunikácii prostredníctvom zariadení a je kritickou súčasťou kontroly zabezpečenia.
Filtrovanie škodlivých a podozrivých domén je neustálym bojom o zachovanie ochrany. V ideálnom prípade by škodlivé domény vôbec nebolo možné registrovať alebo by aspoň došlo k ich rýchlemu odhaleniu, pričom problém by sa následne riešil ich vyradením, zablokovaním prístupu k nim alebo presmerovaním komunikácie mimo ne (tzv. sinkhole). Registrácia nového alebo recyklovaného názvu domény pod falošnou identitou je však rýchly, jednoduchý a lacný proces, čo umožňuje okamžité šírenie rôznych hrozieb.
Škodlivé domény ako prosperujúce odvetvie
Nebezpečenstvo nespočíva len v chybnom zadaní názvu domény a náhodnom prechode na škodlivú stránku, ktorá zneužíva bežné preklepy v názvoch domén (tzv. typosquatting). Útočníci môžu hromadne registrovať nové škodlivé domény na účely rozsiahlych phishingových kampaní, prípadne používať homografické útoky, ktorým odolajú len tí najopatrnejší. Kompromitované zariadenia sa môžu spojiť s riadiacimi a kontrolnými servermi, ktoré dohliadajú na botnety, aby vydali ďalší škodlivý príkaz. Vplyvom malvéru môže dôjsť ku krádeži údajov a ich odoslaniu škodlivej doméne.
Osobitný problém nastáva, keď sú legitímne domény kompromitované a zaradené na zoznamy blokovaných domén ako škodlivé. Prevádzkovatelia takýchto domén musia odhaliť zdroj kompromitácie a požiadať o ich odstránenie zo všetkých zoznamov blokovaných domén. Tento scenár často nastáva, keď poskytovatelia hostiteľských služieb, ktorí zistia škodlivú aktivitu, automaticky pozastavia účty klientov. Na druhej strane existujú aj takí poskytovatelia, ktorí si zatvárajú oči pred škodlivým alebo nezákonným využívaním svojich služieb, čím poskytujú bezpečný prístav pre potenciálnych aj profesionálnych zločincov.
Podľa spoločnosti Verisign, ktorá spravuje infraštruktúru domén najvyššej úrovne (TLD) .com a .net, bolo v štvrtom štvrťroku 2021 zaregistrovaných 341,7 milióna nových názvov domén vo všetkých doménach najvyššej úrovne okrem .tk (Tokelau), .cf (Stredoafrická republika), .ga (Gabon), .gq (Rovníková Guinea) a .ml (Mali, ktoré prevádzkuje spoločnosť Freenom, a to pre nedostatok overiteľných údajov. Vzhľadom na to, že každý deň je v priemere zaregistrovaných viac než 3,7 milióna nových domén, ktoré sa musia analyzovať z hľadiska škodlivého správania, ako aj vzhľadom na existujúce domény, ktoré už môžu byť kompromitované alebo sa ich škodlivá stránka prejaví až neskôr, je potreba účinných technologických riešení zameraných na tento vektor hrozieb mimoriadne dôležitá.
Ekonomická stránka domén
Podľa viacerých analýz vykonaných v priebehu rokov – [1], [2] a [3] – patrí päť domén najvyššej úrovne prevádzkovaných spoločnosťou Freenom medzi domény najčastejšie zneužívané na phishing a šírenie malvéru, pretože registrácia novej domény je bezplatná. Odhaľuje to, aká priaznivá je situácia pre útočníkov z ekonomického hľadiska.
Každý deň môžu vzniknúť a zaniknúť milióny domén, pretože ľudia, ktorí ich registrujú, za to nenesú takmer žiadnu zodpovednosť ani náklady. Každý registrátor si stanovuje vlastné pravidlá a je ľahké nájsť takých, ktorí pristupujú k overovaniu totožnosti a adries registrujúcich len veľmi laxne a za registráciu domén si neúčtujú takmer žiadne poplatky. Niekedy dokonca sprístupňujú API, aby umožnili automatizovanú registráciu veľkého počtu domén.
Hoci bol protokol WHOIS vyvinutý tak, aby umožňoval jednoduché vyhľadávanie totožností a adries registrujúcich v databázach registrátorov, identifikácii škodlivých registrujúcich bráni niekoľko prekážok. Niektorí registrátori ponúkajú službu ochrany súkromia, v rámci ktorej neposkytujú informácie o registrujúcich. Niektoré miestne zákony o ochrane súkromia takéto utajovanie údajov dokonca prikazujú. Ešte horšie je, že v prípade vyslovene škodlivých domén sú všetky informácie umožňujúce identifikáciu osôb, ktoré by mohli byť dostupné prostredníctvom dopytu WHOIS, pravdepodobne falošné. Dokonca aj kreditná karta použitá pri platbe za registráciu týchto domén je najskôr kradnutá. Kontaktovanie registrátora, aby odstránil škodlivú doménu, môže trvať niekoľko dní, no zločincom stačí pár minút a môžu pokračovať vo svojich škodlivých kampaniach s novými názvami domén.
Filtrovanie sieťovej komunikácie na zaistenie bezpečnosti
Reakciou IT sektora na zneužívanie DNS bolo vytvorenie automatizovaných systémov, ktoré neustále analyzujú domény z hľadiska škodlivého správania a vytvárajú zoznamy blokovaných domén. Tieto zoznamy sa potom prepájajú s rôznymi bezpečnostnými produktmi a informačnými zdrojmi o hrozbách s cieľom lepšie rozhodnúť o tom, ktoré pripojenia ku konkrétnym doménam budú povolené. Napríklad antiphishingová databáza bezpečnostných produktov ESET sa aktualizuje každých 20 minút, takže zákazníci sú chránení aj pred najnovšími phishingovými webovými stránkami.
Filtrovanie sieťovej komunikácie podľa zoznamov blokovaných domén nie je medzi poskytovateľmi internetových služieb (ISP) a správcami sietí žiadnou neznámou. V skutočnosti ide o úlohu, ktorú plnia firewally už od polovice 80. rokov: rozbaľujú prichádzajúce pakety, kontrolujú IP adresy, názvy domén, protokoly a čísla portov, a ak sa objaví zhoda so zoznamom blokovaných domén, niečo podozrivé alebo ide o komunikáciu, ktorú správcovia firewallu zakázali, dôjde k zablokovaniu prenosu alebo upozorneniu požívateľa.
Pri správnom nastavení môžu byť firewally v sieti a na koncových zariadeniach účinné, pretože fungujú v oboch smeroch a bránia útočníkom zvonku aj zvnútra v odosielaní paketov do sietí a zariadení, ako aj z nich. Vďaka tomu sa obmedzuje šírenie škodlivých paketov a únik dôverných údajov bez ohľadu na smer alebo zdroj. Firewall DNS funguje trochu inak, pretože umožňuje vyhľadávanie v službe DNS a odpovede označené ako škodlivé alebo inak nežiaduce prepíše správami „nenájdené“ alebo „prístup zamietnutý“.
Filtrovanie DNS si vyžaduje spoluprácu
Používanie firewallov a zoznamov blokovaných domén na zamedzenie prístupu k škodlivým doménam môže v istom zmysle vytvárať falošný pocit bezpečia. Aj pri vytrvalom úsilí sa takmer vždy nájde nejaká medzera, ako obísť filtre firewallu, zvyčajne prostredníctvom virtuálnej súkromnej siete (VPN) alebo prehliadača Tor. Keďže firewall DNS je viazaný na server DNS, na obídenie jeho filtrov stačí zmeniť používaný server DNS. Aj keď je možné používať doma alebo lokálne vlastný server DNS a filtre, mnohí používatelia internetu sa pravdepodobne uspokoja s predvoleným serverom DNS a filtrami od poskytovateľa internetových služieb. Jednoduchým vyhľadaním „verejných serverov DNS“ vo vyhľadávači objavíte množstvo obľúbených bezplatných a platených alternatív, z ktorých niektoré ponúkajú rôznu úroveň ochrany pred phishingovými stránkami a malvérom.
To znamená, že efektívne využívanie riešenia na filtrovanie DNS v rozhodujúcej miere závisí od ochoty používateľov internetu spojiť sily s vybraným poskytovateľom DNS a rozhodnúť sa neobchádzať ponúkanú ochranu.
PDNS s riešením ESET NetProtect
Potreba zlepšiť bezpečnosť DNS viedla na niektorých miestach k zavedeniu PDNS (Protective DNS) – táto skratka odkazuje na filtrovanie DNS. Napríklad od roku 2020 musia mať dodávatelia amerického ministerstva obrany certifikát CMMC (Cybersecurity Maturity Model Certification), ktorý okrem iných požiadaviek stanovuje, že filtrovanie DNS musí dosahovať úroveň 3 z celkovo piatich úrovní. Okrem toho koncom roka 2021 americké ministerstvo obrany spustilo CMMC 2.0, pričom na prepojenie filtrovania DNS sa ešte len čaká.
Na trhu PDNS pôsobí mnoho dodávateľov, ktorí ponúkajú filtrovanie DNS s rôznymi úrovňami kvality informačných kanálov o doménach a sprievodné bezpečnostné služby. Jedinečný prínos spoločnosti ESET spočíva v údajoch o hrozbách zdieľaných miliónmi zákazníkov po celom svete, ktorí používajú bezpečnostné produkty ESET. Vďaka 35 rokom skúseností v oblasti poskytovania IT zabezpečenia, ako aj vývoja a dolaďovania interných systémov na poskytovanie vysokokvalitných informačných kanálov o doménach na filtrovanie DNS môže spoločnosť ESET ponúknuť poskytovateľom internetových služieb a správcom zabezpečenia domácností osobitý zdroj ochrany.
Možno ste poskytovateľom internetových služieb, ktorý sa chce uchádzať o štátne zákazky, alebo chcete chrániť svoju vlastnú sieť či poskytovať bezpečnostné služby svojim zákazníkom. Alebo ste bežným používateľom a hľadáte zabezpečenie, ktoré by bolo lepšie než to, ktoré vám ponúka váš poskytovateľ internetových služieb, a ktoré možno ľahko rozšíriť na všetkých používateľov a hostí vo vašej domácej sieti. Nech už je váš prípad akýkoľvek, informovanie sa o možnosti filtrovania pre server DNS a o tom, komu zverujete bezpečnosť DNS, je dôležitým krokom pri odolávaní množstvu škodlivých domén šíriacich sa na internete.
ESET NetProtect je riešenie na filtrovanie DNS dostupné pre domácich používateľov u poskytovateľov internetových služieb, ktorí nadviazali partnerstvo so spoločnosťou ESET. Riešenie dokáže odhaliť a blokovať domény, ktoré šíria malvér, používajú sa na phishing, majú pochybnú povesť alebo ponúkajú potenciálne nechcený obsah. ESET NetProtect ponúka zákazníkom aj konfigurovateľný filter webového obsahu s 35 kategóriami, ktorý umožňuje blokovanie obsahu podľa vekových skupín.Viac informácií o prepojení riešenia ESET NetProtect so službami internetových operátorov nájdete na našej produktovej stránke.