Naveza ISP-jev in Paxfire v ZDA pri zlorabi DNS

Matej Huš

7. avg 2011 ob 20:58:31

Raziskovalci so odkrili (članek, članek), da je v ZDA približno dva odstotka vseh strežnikov DNS "zlonamernih", kar pomeni, da ne vračajo pravilnih naslovov. Strežniki DNS pretvarjajo uporabnikove besedilne zahtevke (recimo www.slo-tech.com) v IP-naslove, na katerih so dejansko strani (recimo 193.164.138.20). Pri tem moramo vsakokrat zaupati, da DNS resnično vrača prave odgovore in nas ne pelje na sumljive strani. Večinoma se uporabljajo DNS-ji ponudnikov dostopa do interneta (ISP) ali pa večjih ustanov (recimo ARNES-a ali Googla), ki jim verjamemo. Razen ZDA nobena druga država nima več kot 0,17 odstotka zlonamernih DNS-jev. Kaj se torej dogaja?

Raziskovalci so odkrili navezo manjših ameriških ponudnikov dostopa do interneta in podjetja Paxfire, ki s pomočjo neopaznega podtikanja lažnih IP-naslovov služijo lepe denarje. Vse se začne z zatipkanim naslovom - če napišemo www.slo-tehc.com, bomo od vsakega poštenega DNS-strežnika dobili odgovor, da stran ne obstaja, in brskalnik bo pokazal znano napako. Paxfire ponuja posredniške strežnike (proxy), prek katerih preusmerjajo promet nekateri ISP-ji. Če namreč v brskalnikovo okno vpišemo zgolj slo-tech, bo brskalnik vzpostavil povezavo z izbranim iskalnikom (tega določimo lokalno v nastavitvah brskalnika) in prikazal recimo vse Google zadetke ob iskanju po tej ključni besedi. Tu pride do izraza Paxfire, ki tovrstne zahtevke preusmeri še preden pridejo do iskalnika in uporabnika preusmeri na komercialno stran z iskalnimi rezultati in reklamami. Problema sta vsaj dva. Prvič, to pomeni, da ISP in Paxfire nadzorujeta vaša iskanja, in drugič, da s tem služita denar.

Paxfire pa gre še korak dlje. Če recimo vpišete microsoft ali kaj podobno znanega (trenutno je teh znamk okoli 170) v naslovno vrstico, vas DNS preusmeri na reklamno spletno stran, ki takoj izvede preusmeritev na www.microsoft.com. Uporabnik sploh ne opazi, da se je kaj zgodilo (razen da se ni odprla stran z rezultati iskanja), medtem ko Paxfire zabeleži en klik na reklame strani, kar oglaševalcem zaračunajo. Odkrili so že devet ISP-jev, ki uporabljajo to prakso, uporabniki pa lahko svojega preverijo na internetni strani ICSI Netalyzr.

Zaradi tega je bila proti Paxfiru v četrtek že vložena skupinska tožba.