China Netcom Terjun Mencegah Keracunan DNS Cache

Salah satu ISP terbesar di Cina (penyedia layanan Internet) telah menjadi korban kerentanan berbahaya dalam sistem pengalamatan Internet, menurut vendor keamanan Websense.

Cacat, yang telah digambarkan sebagai salah satu yang paling serius yang pernah mempengaruhi Internet, dapat menyebabkan peselancar Web dialihkan ke situs web palsu bahkan jika URL (Uniform Resource Locator) telah diketik dengan benar di bilah alamat browser.

Ditemukan oleh peneliti keamanan Dan Kaminsky, masalahnya ada pada DNS (Sistem Nama Domain). Ketika pengguna mengetik alamat Web ke browser, permintaan masuk ke server DNS atau cache, yang mengembalikan alamat IP (Internet Protocol) numerik yang sesuai untuk situs Web.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Tapi cacat memungkinkan server DNS untuk diisi dengan informasi yang salah dan mengarahkan pengguna ke situs Web berbahaya. Serangan China Netcom sangat menarik karena hanya mempengaruhi mereka yang salah mengeja URL tertentu, kata Carl Leonard, manajer penelitian keamanan untuk laboratorium Web Websense.

Peretasan terbaru ditemukan oleh lab Beijing Websense, beberapa di antaranya yang menggunakan China Netcom sebagai ISP mereka, kata Leonard. Websense telah melihat serangan DNS lainnya, tetapi memilih untuk mempublikasikan ini karena pelaksanaannya yang menarik, katanya.

Peretas telah mengutak-atik salah satu server DNS China Netcom untuk hanya mengalihkan pengguna yang mengetik, misalnya, gogle.cn dari google.cn. Dengan begitu, lebih sedikit pengguna yang diarahkan ke situs Web jahat, tetapi strateginya adalah untuk menjaga serangan agar tidak terlalu menarik perhatian.

"Para penulis malcode sedang mencoba untuk tetap di bawah radar," kata Leonard.

Korban diarahkan ke situs Web berbahaya - beberapa di antaranya masih aktif - yang mencoba mengeksploitasi kerentanan yang diketahui dalam perangkat lunak seperti RealSlayer player multimedia RealPlayer dan Adobe System's Flash Player.

Upaya eksploitasi lain untuk memanfaatkan masalah dengan kontrol ActiveX untuk Snapshot Viewer Microsoft, digunakan untuk melihat laporan untuk Microsoft Access, program database relasional.

Meskipun Adobe, Microsoft dan RealPlayer telah mengeluarkan tambalan untuk beberapa kerentanan tersebut, peretas masih melihat peluang. "Ini memberitahu kita orang belum menerapkan tambalan itu," kata Leonard.

Jika eksploit berhasil, PC akan mengunduh program kuda Trojan yang menutup pembaruan untuk perangkat lunak antivirus, kata Leonard. Websense telah memberitahukan China Netcom tetapi belum yakin apakah server DNS telah ditambal.

Kaminsky dan peneliti lain mengoordinasi kampanye rahasia besar-besaran dengan vendor untuk menambal perangkat lunak DNS mereka, tetapi detail tentang cara mengeksploitasi cacat bocor pada 21 Juli Namun, tidak semua ISP telah ditambal, membuat beberapa pengguna berisiko. Juga, patch yang tersedia hanya mengurangi kemungkinan keberhasilan serangan daripada benar-benar mengamankan server DNS terhadap serangan, Leonard mengatakan.

"Perlu ada solusi jangka panjang yang tersedia," kata Leonard.