TOOLinux

Le journal du Libre

Attaques DNS : Connaître son ennemi

vendredi 25 juillet 2014

DNS : De quoi s’agit-il ?

Le service DNS est un protocole de signalisation standard qui est à la base du fonctionnement de toutes les applications actuelles, il est ainsi essentiel pour la réception des emails, l’accès aux sites web, et un simple login de domaine n’est plus possible en son absence.

Les requêtes sont générées par les clients en UDP et sont traitées par une suite de serveurs DNS dit « resolvers » qui relayent et mettent en cache les réponses selon une organisation massivement distribuée.
En raison du nombre important de paquets générés et de la criticité de ce trafic, on observe que le DNS est peu ou pas filtré, que la plupart des acteurs ne conservent pas des journaux détaillés de ces transactions.

Le DNS, en tant que protocole, n’a été que très peu modifié depuis sa normalisation en 1987. En effet, un changement trop important dans l’implémentation pourrait mettre en péril l’interopérabilité des serveurs DNS entre eux, et donc poser un risque majeur sur le fonctionnement de l’internet.

Le DNS est donc un protocole à la fois vulnérable et universel, ce qui en fait une cible idéale pour les pirates.

Le DNS est donc maintenant devenu le deuxième protocole le plus ciblé, avec une hausse du nombre d’attaques atteignant 216 % depuis 2013. En outre, près de 80 % des entreprises subissent des attaques DNS de la couche applicative.

Réalisons-nous vraiment à quel point notre réseau est vulnérable ?

Trop d’entreprises croient toujours à tort que leur service DNS est sûr, ou encore n’accordent aucune importance à ce composant pourtant essentiel.

De fait, le rapport annuel sur la sécurité 2014 de Cisco indique que chaque réseau d’entreprise examiné présentait des signes d’utilisation malveillante ou de compromission. Tous les réseaux, par exemple, montrent des requêtes DNS relatives à des sites Web hébergeant du malware, 96 % du trafic vers des serveurs détournés et 92 % du trafic vers des sites sans aucun contenu, signe en général de la présence de malware.

Cette généralisation du Malware en entreprise est en outre un des éléments qui vont favoriser les attaques à grande échelle sur le DNS car elle permet aux pirates de constituer des botnets utilisables pour jouer à grande échelle les attaques ci-dessous :

Générer une attaque DDoS à l’aide de l’infrastructure DNS d’une entreprise peut être étonnamment simple :

Un pirate informatique envoie une requête à un serveur de nom sur Internet avec une adresse IP source A correspondant à la cible, le DNS renvoie donc la réponse en UDP sur cette adresse A qui peut correspondre à tout type d’équipement , (routeur , serveur, etc.) c’est ce que l’on appelle l’usurpation ou « spoofing ».

Une requête de seulement 78 octets, par exemple, envoyée avec une adresse IP usurpée à un domaine qui contient des enregistrements DNSSEC peut renvoyer vers la cible une réponse de plus de 4000 octets. C’est ce que l’on appelle l’amplification.

Donc avec une connexion Internet 1 Mbps, un hacker peut envoyer environ 1600 requêtes de 78 octets par seconde, ce qui aboutirait à des réponses d’une ampleur de 52 Mbps renvoyées au serveur cible.

On comprend donc bien le risque si ce scénario se répète simultanément à partir de dizaines, voire de centaines ou milliers de machines au sein d’un BOTNET, sachant que le nombre de serveurs récursifs ouverts (acceptant donc les requêtes DNS de la part de n’importe quelle IP) est encore évalué à plus de 33 millions dans le monde.

Comment s’organise une attaque ?

Tunneling, empoisonnement de cache, attaques de protocole DNS… Au cours des dernières années, les cyber-terroristes ont gagné en imagination dans leur manière d’accéder en catimini au réseau et aux données d’une entreprise. Les experts de la sécurité ont également réussi à découvrir plusieurs graves vulnérabilités et à les théoriser pour sensibiliser sur la sécurité, ce qui reste d’actualité : la vulnérabilité Klein (qui exploite une faille du générateur de nombres aléatoires afin de prévoir les prochains ID de message et ainsi forger des paquets d’apparence légitime), la vulnérabilité Kaminsky (qui concerne les enregistrements additionnels acceptés dans les réponses reçues par les résolveurs), le Paradoxe de l’Anniversaire (requêtes envoyées à un serveur de noms vulnérable, suivies du même nombre de réponses, avec un haut risque d’obtenir des ID concordants parmi ces échanges), etc.

Selon les objectifs et les moyens des pirates, on retrouvera plusieurs vecteurs, organisés ou non dans le temps sous la forme d’un scénario : Redirection vers un faux serveur, puis infection des clients, phishing ou encore chargement d’un logiciel de cryptage visant à prendre les données en otage.

Nous avons plusieurs cas récents : par exemple, un malware qui a réussi à créer une copie presque parfaite de Google Play Store. Des applications sociales comme Feedly et Evernote ont également été victimes d’attaques DDoS basées sur une saturation du réseau par hausse exponentielle du trafic. De manière similaire, Deezer a subi une attaque DDoS basée cette fois sur un botnet. De grands événements (sports, société, etc.) sont une autre occasion rêvée pour les pirates informatiques, qui les utilisent pour créer plusieurs attaques quasi-simultanées. Néanmoins, dans ce dernier cas, leur but réside plus dans la reconnaissance que réellement dans la perturbation.

Quelles mesures les entreprises peuvent-elles donc prendre pour lutter contre de telles attaques ?

Le défi en la matière est que le plus souvent, plusieurs services de l’entreprise se partagent la responsabilité du DNS. L’équipe chargée de la sécurité informatique, par exemple, est responsable de mettre en œuvre un service sûr et fiable qui est protégé dans le cadre de sa propre infrastructure, mais l’équipe chargée de l’exploitation effectue la gestion courante du DNS, l’interaction avec les organes d’enregistrement pouvant incomber au service responsable de l’achat des noms de domaine Internet. Des services comme la communication ou le marketing sont également impliqués lors des campagnes de communication ou la gestion des marques.

Néanmoins, au-delà des aspects organisationnels, les entreprises doivent mettre en œuvre une stratégie de défense qui allie réactivité et visibilité :

La réactivité est un point essentiel, car le succès d’une attaque se joue parfois à la seconde près. Les contre-mesures adaptées à l’attaque doivent donc pouvoir être activées automatiquement par les équipements chargés du service DNS. Dans les cas des attaques sophistiquées (Advance Persistent Threats), la capacité des équipements de contre mesure et de détection à coopérer entre eux est également un point important. Enfin, les capacités d’adaptation aux nouvelles menaces sont également à prendre en compte.

La visibilité est la pierre angulaire pour la mise en œuvre d’une bonne sécurité et devrait constituer un objectif pour la majorité des entreprises aujourd’hui. Lors d’une attaque, les hommes et les organisations sont soumis à une pression importante face au risque de perte de revenu, d’évasion de données etc. Produire rapidement et automatiquement des rapports clairs et détaillés vers les équipes opérationnelles contribuera à la qualité et la rapidité de la réponse globale de l’entreprise. De même, produire rapidement des synthèses, tendances et projections est indispensable pour les équipes en charge de la sécurité quand elles doivent présenter et convaincre la direction de prendre une décision, que ce soit préventivement ou lors d’une attaque d’envergure.

Ainsi, pour le DNS comme pour d’autres protocoles, le défi est sans cesse plus important pour les entreprises qui dépendent déjà toute du bon fonctionnement d’IP et qui doivent maintenant s’adapter à l’arrivée des nouveaux usages que sont la mobilité, les réseaux sociaux ou encore l’internet des objets.

- Une tribune d’Antoine Camerlo, Ingénieur Système au sein d’Infoblox.