חברת F-Secure משיקה כלי לזיהוי חטיפת DNS
חטיפת DNS (באנגלית DNS Hijacking) היא סוג של מתקפה ממוחשבת המשבשת את הפעילות הרגילה של מנגנון ה-DNS בנתב או במחשב.
באופן רגיל מנגנון ה-DNS משמש לתרגום שם המתחם (Domain) הכתוב באופן אלפביתי (URL) לכתובת המספרית (IP) עליה הוא נמצא. התרגום נעשה באמצעות שרתי DNS המהווים מעין ספר טלפונים אינטרנטי, המצמיד לכל שם מתחם את כתובת ה-IP שלו.
חטיפת DNS מנצלת חולשות של הנתב ושל המחשב האישי ובאמצעותם היא מצליחה להשתלט ולשבש את פעולתו הרגילה של המנגנון.
החטיפה משנה את הגדרות שרתי ה-DNS בנתב (ולעיתים במחשב עצמו) וגורמת לתרגום זדוני, המפנה את המשתמש לאתר שונה מזה שהוא רצה להגיע אליו.
שינוי זה, שהמשתמש בדרך כלל אינו מודע אליו, יכול לגרום להצגת אתר מזוייף שיאסוף מהמשתמש מידע אישי, כמו שם משתמש, סיסמא, מספר תעודת זהות וכד'. במקרים אחרים, חטיפת ה-DNS תציג למשתמש הודעות שגיאה מזויפות שיגרמו לו לבצע פעולה, כמו התקנת תוכנה, שבאופן רגיל אותו משתמש לא היה מבצע.
על מנת לזהות מצבים של חטיפת DNS, הציגה בסוף השבוע שעבר חברת F-Secure מנגנון המכונה Router Checker המאפשר לזהות מקרים מעין אלה. המנגנון מבוסס על אתר אינטרנט המבצע בדיקה האורכת כ-30 שניות, ללא צורך בהתקנת תוכנה כלשהיא. בסוף הבדיקה מוצגת בפני המשתמש הודעת הרגעה או התראה מפני חטיפה.
חברת F-Secure הממוקמת בפינלנד, היא חברה ותיקה וידועה המתמחה באבטחת מחשבים ורשתות שבארסנל הכלים שהיא מוכרת ניתן למצוא תוכנות אנטי-וירוס, חומות אש והגנת תוכן. החברה טוענת שהכלי, שהשימוש בו אינו עולה כסף, אינו אוסף מידע אישי ושהיא אינה מאכסנת שום מידע לגבי המחשבים והנתבים הנבדקים.
בעקבות שאלה בפורום "רשתות ואינטרנט" ב-HWZONE, הגולש m1ke כתב הסבר ממצה ופשוט על אופן העבודה של הכלי:
הם (כלומר F-Secure) מחזיקים ב dns server משלהם. ברגע שאתה מתחיל בתהליך בדיקה, הם יוצרים dns record יחודי לך וגורמים לדפדפן שלך לפתוח לשם פניה. המחשב שלך יבצע dns resolve ומכיוון שהrecord הזה הוא חדש וזמני, אין מצב שאף שרת dns אחר בעולם יודע עליו, ולכן כדי לדעת מה הכתובת, צריך להגיע עד לשרת dns שלהם ולשאול מה הכתובת של הrecord הזה. ברגע שהפניה תגיע אליהם, הם יודעים להוציא ממנה את פרטי הdns שלך ולייחס אותה אליך כי הdns record הוא יחודי רק לך.
