Es atveru pārlūkā www.delfi.lv, un man parādās uzraksts: YOU HAVE BEEN HACKED.
Tātad šodien parunāsim par to, kas tieši ir DNS poisoning jeb saindēšanas uzbrukums? Kā tas strādā? Un kā no tās pasargāties?
Pirmkārt, jāsaka, ka ar Delfiem viss ir kārtībā. Es varēju izvēlēties jebkuru domēnu un tas, kam es esmu pieslēdzies šobrīd, nav Delfi serveris – tas ir mans personīgais serveris. Bet es esmu piemānījis pārlūku, lai izskatās, ka es atrodos delfi.lv. Tāpat, ja Tu ar savu datoru atnāksi pie manis uz mājām, pieslēgsies pie mana rūtera, un izmantosi delfi.lv domēnu, lai ietu iekšā, Tev arī rādīsies šī pati mana lapa, un arī Tavs pārlūks būs piemānīts. Tu it kā atrastos Delfos, bet patiesībā saņemtu saturu no manas lapas.
Tātad manā piemērā es uzliku skaļu paziņojumu YOU HAVE BEEN HACKED, bet tā vietā es varētu uzlikt arī, teiksim, Delfu kaut kādu login lapu. Un, ja Tu būtu autorizējies šajos Delfos, būtu ievadījis lapā login informāciju, tad es saņemtu Tavu lietotāja vārdu un paroli. Tāpat es varētu uztaisīt arī to, lai šī būtu kā Delfu lapas kopija, bet, teiksim, ar kaut kādu fake rakstu iekšā. Tādā veidā var mulsināt cilvēkus.
Kas ir šī metode un kā tieši tā strādā? DNS ir saīsinājums no Domain Name System. Tas ir mehānisms, kas pārvērš domēna vārdu par IP adresi. Atveram pārlūku un adreses laukā redzam wikipedia.org, bet, kad es to ievadu pārlūkā, tas patiesībā nesūta datus uz šo domēnu. Tā vietā, izmantojot DNS serveri, šis domēns tiek pārtulkots par IP adresi. Un tad mani dati un mani pieprasījumi tiek sūtīti uz šo IP adresi un no šīs IP adreses saņem tos arī atpakaļ. Tātad visā pasaulē ir daudz DNS serveru. Tās būtībā ir tabulas, kur tiek reģistrēts, kuri domēni ir savienoti ar kurām IP adresēm. Jo hostings jeb vieta, kur mājaslapa fiziski atrodas, nevar atrasties uz domēna – viņš ir tikai uz IP adreses. Tāpēc vajag šo vizuāli redzamo vārdu (Delfi.lv) savienot kopā ar IP adresi, kas ir šis Delfi serveris. Tātad, ja šis savienojums notiek, tad, ievadot pārlūkā šo nosaukumu, mēs nonākam tajā serverī, un tad notiek datu apmaiņa ar serveri. Taču, ja mums ir pieeja rūterim, piemēram, rekur ir mans rūteris. Es pieslēgšos tam, izmantojot pārlūku, un nospiedīšu Autorizēties. Mēs aizejam uz Tīkla iestatījumiem. Šeit redzam, ka DNS serveri ir iespējams uzstādīt manuāli. Tas nozīmē, ka cilvēki, kuri būs pieslēgušies šim rūterim, izmantos tieši šo DNS serveri, nevis kādu no globālajiem, kas ir visā pasaulē. Un, tā kā es esmu šeit norādījis savu servera adresi, es esmu uzstādījis savu DNS serveri. Tātad man ir pilna kontrole pār to, kurš domēna vārds šiem cilvēkiem ir sasaistīts ar kuru IP adresi. Par cik DNS serverī es norādīju, ka Delfi domēna vārds ir saistīts ar mana servera IP adresi, cilvēks, kas atver šo domēna vārdu, nonāk manā serverī. Lai gan augšā šeit joprojām parādās delfi.lv.
Tātad, ko tieši tas nozīmē? Tas nozīmē, ka hakeris var ar mašīnu piebraukt pie kāda biroja, sēdēt stāvlaukumā un attālināti lauzt vaļā tā biroja WiFi paroli. Ja viņam tas izdodas un viņš tiek iekšā šī biroja rūtera konfigurācijā, viņš var nomainīt DNS uzstādījumus, lai tie norāda uz viņa serveri. Un tajā brīdī viņš ir pārņēmis pilnu DNS kontroli pār darbinieku datoriem, kas atrodas šajā birojā. Viņš var izvēlēties un norādīt, kurš domēns būs saistīts ar kuru IP adresi. Un darbinieki par to nezinās, jo nebūs lietas kursā, ka šādas darbības ir notikušas. Un tieši tāpēc ir ļoti svarīgi turēt spēcīgu paroli savam rūterim. Tas nozīmē, ka parolei ir jābūt garai, ar simboliem, ar lieliem un maziem burtiem un ar cipariem.
Liela daļa rūteru no ražotāja nāk ar ļoti vienkāršiem sākotnējiem pieejas datiem. Piemēram, šeit ir biežāk lietoto rūteru ražotāju saraksts, kur redzams, kuras pēc noklusējuma ir IP adreses, caur kurām var rūterim pieslēgties klāt šim administrācijas panelim. Un tajā ir norādīts arī, kādi pēc noklusējuma ir lietotāji un paroles. Un, ja Jūs to neesat mainījis, ir liela iespēja, ka tā ir viena no šīm. Tādā gadījumā uzbrucējam ir ļoti vienkārši pēc šīs tabuliņas atrast Jūsu rūtera piekļuves datus. Vai arī, protams, viņš var izmēģināt visu pēc kārtas. Daļai rūteru šī noklusējuma administrācijas parole ir uzģenerēta unikāla un uzrakstīta rūtera aizmugurē. Tā ir labāka metode, jo liela daļa cilvēku šo paroli nemaina, tāpēc labāk, lai tā ir unikāla. Bet problēma ir tāda, ka, ja ir daudz cilvēku šajā birojā, tad jebkurš cilvēks var rūterim paskatīties otrā pusē un redzēt visu šo paroli. Un arī viņš varēs tikt iekšā administrācijā, un piekļūt visiem DNS uzstādījumiem. Tātad drošākā metode ir uzreiz nomainīt sākotnējo paroli, lai to zināt tikai Jūs. Un tādā veidā šis cikls ir maksimāli pasargāts.
Bet tāpat jāatceras, ka, arī fiziski piekļūstot rūterim, var izdarīt daudz. Piemēram, var veikt rūtera reset, un tajā brīdī šī parole atkal atliksies atpakaļ uz ražotāja norādīto. Tāpēc vislabāk, ja šo rūteri tur nepieejamā vietā aiz atslēgas.
Tālāk parunāsim par to, kāpēc manā video piemērā, pie pārlūkā atvērtā adreses lauka, ir rakstīts Not secure? Tas tāpēc, ka mēs šeit izmantojam http, nevis https protokolu. Un pat, ja Jūs izmantotu drošo https protokolu, šis triks neizdotos. Pēc autoritātes sertifikātiem un pārbaudēm uzreiz šim pārlūkam būtu skaidrs, ka tas serveris nav īstais serveris. Līdz ar to man parādītos šeit paziņojums, ka kaut kas nav kārtībā, un mani nemaz nepielaistu šajā lapai, kas būtu pilnīgi pareiza rīcība. Tāpēc rūpējaties, lai visas mājaslapas, ko Jūs atverat, ir caur https jeb drošo savienojumu. Un šajā gadījumā, kā jau es rādīju, es varu uzrakstīt www.delfii.lv, bet viņš automātiski nepāradresē mani uz https. Un tam Jūs sekojat vienmēr līdzi – ja tur rakstīts Not secure, šai lapai neuzticaties, jo tur var nebūt kaut kas kārtībā.
Tagad es Jums parādīšu metodi, kā pasargāties no šāda veida uzbrukumiem, pamainot dažus uzstādījumus savā datorā. Aiziesim uz Control Panel → Network and internet → Network and Sharing Center → Change adapter settings. Un izvēlēsimies iekārtu, caur kuru Jūs pieslēdzaties internetam. Šajā gadījumā es izvēlos Wi-Fi adapteri. Es nospiežu uz tā ar labo peles pogu un izvēlos Properties. Un tālāk šeit, Networking daļā, es izvēlos Internet Protocol Version 4 un apstiprinu, nospiežot pogu Properties. Šeit man parādās General informācija. Kā redzam manā piemērā, šobrīd, kad es pieslēdzos rūterim, es automātiski dabūju IP adresi, un es automātiski no rūtera ielādēju savus DNS uzstādījumus. Ja es vēlos būt pasargāts no tādām lietām, es norādīšu, ka es vēlos DNS Server norādīt pats manuāli. Es norādīšanu Preferred DNS server 8.8.8.8. un Alternate DNS server 8.8.4.4. Šie ir divi ļoti slaveni Google serveri, ar kuriem mēs ļoti ātri varam dabūt DNS ierakstus. Tas pat var palielināt Jūsu interneta ātrumu, precīzāk to, cik ātri Jūs pieslēdzaties mājaslapām. Ja Jums šie DNS uzstādījumi ir, tad, lai arī pie kāda rūtera Jūs slēgsieties klāt, tie nevarēs pārrakstīt pāri Jūsu iekārtā norādītajiem DNS uzstādījumiem un tādējādi maldināt, kura lapa ir atrodama kurā IP adresē. Tagad es saglabāšu uzstādījumus un nospiedīšu OK un aizvēršu Control Panel logu. Tagad esam pasargāti no šāda veida uzbrukumiem manā datorā.