перепечатка с Вебпланеты http://webplanet.ru/news/security/2011/11/...secure_dns.html
--
Вчера некоторые пользователи жаловались на вирусы, которые пытались загрузиться на их компьютеры при попытке открыть сайт mail.ru. Другие, более продвинутые пользователи обнаружили, что причина такого поведения данного ресурса в том, что он поддельный.
Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".
В настоящий момент здесь красуется надпись:
"Switch Now!
It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.
8.26.56.26
8.20.247.20"
Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.
(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)
Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.
Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).
Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.
В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.
Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.
Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.
"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.
Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.
(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.