Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

■ Злоумышленники могут вмешиваться в работу службы DNS[533] – подменять IP-адреса сайтов разными способами; в этом случае даже после ввода корректного адреса вручную браузер переходит на фишинговую страницу. Так происходит, если DNS-записи изменены в файле hosts[534], конфигурации уязвимого роутера[535], в локальном кеше DNS на компьютере пользователя или даже на DNS-сервере либо если DNS-запросы перехватываются. От взлома DNS-сервера пользователь защититься не может, а вот защитить от проникновений собственную локальную сеть вполне возможно. Нужно сменить в маршрутизаторе дефолтный аккаунт администратора и установить сложный пароль, запретить доступ к сетевым настройкам из интернета, закрыть уязвимые порты, защитить от проникновений компьютер или мобильное устройство, с которых осуществляется выход в интернет.

Если говорить коротко, DNS, Domain Name System, – это система доменных имен, которая преобразует адреса, вводимые пользователем, например, https://www.google.com, в IP-адрес, распознаваемый сетевыми устройствами, к примеру, 216.239.38.120. И первый, и второй адреса приведут вас на одну и ту же страницу. Так как человеку гораздо проще запомнить имя, чем последовательность цифр, была разработана система DNS, по сути, представляющая собой базу данных, в которой понятные человеку адреса сайтов сопоставлены с их IP-адресами.

Существует несколько разновидностей атак на эту систему как на стороне клиента, так и на стороне сервера. Например, с помощью вируса злоумышленник может модифицировать локальный кеш DNS (он содержит сопоставления адресов сайтов, ранее посещенных пользователем), в этом случае на фишинговый сайт будет перенаправляться только этот конкретный пользователь. Или же вирус может атаковать сам DNS-сервер – тут пострадают все пользователи, чьи обращения идут через скомпрометированный DNS-сервер (в этом случае поиск руткитов и прочих вредоносных инъекций на компьютерах каждого из этих пользователей результата не даст). Такая атака называется модификацией, или отравлением кеша DNS (DNS cache poisoning). Атака вида DNS spoofing (подмена DNS-запросов) относится к MiTM-атакам и предполагает наличие посредника, который перехватывает все запросы к DNS-серверу и отвечает на них (либо перехватывает ответ легитимного DNS-сервера), подменяя IP-адрес. Атака DNS hijacking (подмена DNS-сервера) изменяет настройки сетевого устройства пользователя так, что все DNS-запросы перенаправляются на DNS-сервер злоумышленника. Часто такая атака используется для сбора статистической информации и показа контекстной рекламы; пользователь видит легитимные сайты, но то, что он их посещает, известно злоумышленнику. Существуют и другие атаки, связанные с DNS, но обычно их цель – вызвать отказ в работе DNS-серверов и сделать сайты недоступными для пользователей[536].