DNSChanger Malware / Rogue DNS - “Internet Doomsday” 9 luglio

Alla fine del 2011 l'FBI ha smantellato un ampio e sofisticato squillo di frode su Internet dietro il DNSChangervirus / malware. Parte di questo malware riguardava la gestione delle richieste DNS della vittima verso server non autorizzati controllati dagli autori di malware.

Dopo aver arrestato gli autori, l'FBI e l'ISC hanno istituito server DNS "puliti" per sostituire i server non autorizzati utilizzati dagli autori di malware. Si prevede che questi server cesseranno di funzionare il 9 luglio 2012.

Ci sono molti articoli, principalmente questo che ha attirato la mia attenzione. Onestamente, non ne ho mai sentito parlare fino a questa mattina quando il mio capo mi ha chiesto di "preparare" qualcosa per i nostri collaboratori per tenerli aggiornati.

Innanzitutto, qualcun altro ha sentito parlare di questo e dovrei essere preoccupato? Il DNS nel mio ambiente di lavoro non rientra nella gamma del DNS Rogue effettuato, ma ciò non significa che il mio sia a casa o che possa essere uno dei miei colleghi.

Secondo, come devo fare per "prepararmi" per assicurarmi che tutto sia sicuro e funzionante come dovrebbe essere il 9 luglio?

domain-name-system internet

— C-dizzle
fonte

Un po 'tardi per iniziare a preoccuparmi di questo adesso ... è un po' come iniziare i tuoi sforzi Y2K a Natale '99.

— Womble

Vero, ma non ero preoccupato per me lol, era il mio capo.

— C-dizzle,

Perché non è stato sul tuo radar mesi fa? È in corso solo da 7 mesi, con molte discussioni nei luoghi in cui gli amministratori di sistema professionisti discutono di queste cose. NANOG ne ha discusso quasi senza sosta.

— Womble

@womble perché l'FBI non ha fatto in modo che i propri server DNS riportassero record "falsi" per tutti i siti che indirizzavano gli utenti infetti a una pagina con informazioni sul malware, con le istruzioni per cambiarlo? Normalmente disprezzo quando i provider DNS fanno cose del genere, ma sembra che questa sarebbe un'eccezione accettabile.

— Tom Marthenal,

@TomMarthenal: ci sono alcune parti di Internet che non sono traffico HTTP.

— Womble

Risposte:

Non dovresti preoccuparti dei tuoi server DNS. Sono i computer client che sono stati infettati da questo malware.

Fondamentalmente quello che è successo è stato che quando l'FBI ha arrestato gli autori del virus hanno preso il controllo dei server DNS che stavano eseguendo. Ora, non possono eseguirli per sempre utilizzando i soldi del contribuente e sono in un periodo di tempo limitato a causa dell'ordine del tribunale che è stato emesso.

Da parte tua devi assicurarti che i tuoi computer client non siano infettati da virus.

Ci sono molte buone informazioni sul sito web dell'FBI Operation Ghost Click

— Zypher
fonte

Oltre a ciò che Zypher ha menzionato, potresti anche consultare il post sul blog di ISC su questo e il sito Web del gruppo di lavoro Changer DNS che è specificamente dedicato a questo pasticcio.

In particolare, il sito ISC menziona quanto segue: come rilevare se i sistemi sono interessati:

Il tuo DNS è a posto?
Una mezza dozzina di squadre nazionali di sicurezza in Internet in tutto il mondo hanno creato siti Web speciali che mostreranno un messaggio di avviso alle potenziali vittime dell'infezione del DNS Changer.
Ad esempio, se visiti http://dns-ok.de/ , otterrai una pagina in lingua tedesca che dice che sembri essere infetto o che sembri non essere infetto. Andrew Fried e io abbiamo creato http://dns-ok.us/ per lo stesso scopo, anche se ovviamente la nostra pagina è in inglese americano.
L'elenco completo di questi siti Web "Controllo DNS" è pubblicato sul sito Web di DCWGinsieme a molte informazioni sulla minaccia, sugli arresti, sulla rimozione, sugli ordini del tribunale e sulle informazioni di pulizia per le vittime. Ora che abbiamo tutti questi siti Web che sono in grado di dire a qualcuno se sono una vittima e che dicono alle vittime cosa fare per ripulire i loro computer e i loro router domestici, il problema sembra essere quello di far preoccupare le persone.

— voretaq7
fonte