[Csaladtortenet 2] honlapeltérítés
Dr. Hatvany Béla Csaba
csaba at hatvany.de
2014. Már. 12., Sze, 22:45:36 CET
Kedves Listatársak,
sok szó esett a www.macse.org portálunkat eltérítő vírusról, de legalább ketten is jelezték (Kónya Zsuzsa és Lerch Jancsi – ő volt az első, aki erre rájött) nem csak a saját gépen levő vírus okozza az eltérítést: van akinek a gépe nincs megfertőzve és mégis azt a bizonyos ww2.macse.org oldalt látja, amikor a portálunkat hívja le.
Mielőtt megpróbálom, végtelenül leegyszerűsítve, elmagyarázni miről is van szó, hadd említsem meg még egyszer azt, amit (Papcsik) Béla nagyon helyesen kihangsúlyozott: használjunk egy jó minőségi vírusirtó programot. Akkor tekinthető egy vírusirtó program jó minőségűnek, ha legalább a következőknek megfelel: rendszeresen frissíti a vírusszignatúrákat, biztosítja a biztonságos email kommunikációt és web navigációt, támogat egy tűzfalat. Sok ilyen vírusirtó program létezik a piacon, ha nem tudjuk, melyiket válasszuk, forduljunk egy szakemberhez. A ingyenes vírusprogramoknak inkább reklám szerepük van, mintsem képesek az összes veszélytől megóvni.
Most áttérek az eltérítés kérdésére. Itt egy jó összefoglaló olvasható (sajnos csak angolul): http://palizine.plynt.com/issues/2006Mar/pharming/. Megpróbálom a cikkben foglalt második kép (How Pharming Works) alapján röviden elmagyarázni miről is van szó. Nézzünk a képre és először csak a következőket jegyezzük meg:
a) felhasználó (User) bead a böngészőjébe egy honlap címét (www.macse.org vagy a képen www.nicebank.com)
b) a felhasználó gépe az internet szolgáltatója segítségével megkérdezi a DNS szervert (ezt úgy kell elképzelni, mint egy régi telefonközpontot, ahova bemondták a kívánt kapcsolat telefonszámát), mi is az IP címe a lekért „beszélő” címnek? (a gépek nem értik a „beszélő” címet, csak az IP címet, amely így néz ki 123.123.123.123). A képen ezt a lépést a 3. nyíl jelképezi.
c) A DNS szerver „belenéz” a saját listáiba (lookup table) ahol azt találja, hogy a lekért www.macse.org címnek az 123.123.123.123 IP cím felel meg és ezt visszaküldi a felhasználó gépének (4. nyíl)
d) a felhasználó gépe most a megkapott IP címet kéri a szolgáltatótól, aki lehozza neki a kívánt honlapot (www.macse.org, a képen www.nicebank.com) (2. nyíl)
Most vegyük észre a kép felső részén levő piros ábrákat: egy hacker (Attacker, támadó) és egy hamis weboldal (Fake Website), a képen www.n1cebank.com, esetünkben ww2.macse.org.
Ha a támadó beférkőzik a DNS szerverre és ott módosítja a „beszélő” nevek és IP címeket tartalmazó listát (a képen az 1. nyíl), akkor a felhasználó rossz IP címet kap vissza a DNS szervertől, pld. 123.123.123.123 helyett 111.123.123.123-at kap, ami viszont a ww2.macse.org-nak felel meg (a képen www.n1cebamk.com) és következésképpen a felhasználó a kívánt honlap helyett a hamis honlapra lesz elterelve (5. nyíl).
Összefoglalva: ha már nincs is eltérítő vírus a gépünkön, a DNS szervereken (sok ilyen szerver van hierarchikus felépítésben) lehetnek korrumpált listák és ezért leszünk eltérítve.
A DNS szerverek listái viszont elég gyakran frissülnek és határos időn belül, megint hibátlan listákat fognak tartalmazni és az eltérítés megszűnik.
Mindezek mellet ceterum censeo virus esse delendam <http://hu.wikiquote.org/wiki/Latin_sz%C3%A1ll%C3%B3ig%C3%A9k#C> .
Üdv,
Csaba
További információk a(z) csaladtortenet levelezőlistáról