Szczegóły poważnej usterki Internetu Opublikowany przez Wypadek

Bezpieczeństwo komputerowe Firma w poniedziałek nieumyślnie opublikowała szczegóły głównej luki w internetowym systemie nazw domen (DNS) na kilka tygodni przed ich ujawnieniem.

Usterka została odkryta kilka miesięcy temu przez badacza IOActive, Dana Kaminsky'ego, który pracował wcześnie w tym roku z dostawcami oprogramowania internetowego, takimi jak Microsoft, Cisco i Internet Systems Consortium, aby rozwiązać problem.

Firmy wydały poprawkę dotyczącą błędu dwa tygodnie temu i zachęcały użytkowników korporacyjnych i dostawców usług internetowych do łatania swoich systemów DNS tak szybko, jak to możliwe. Chociaż problem może dotyczyć niektórych użytkowników domowych, według Kaminsky'ego nie uważa się go za poważny problem.

[Czytaj dalej: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i kopii zapasowych]

W tym czasie ogłosił Wada Kaminsky zwróciła się do członków społeczności badającej bezpieczeństwo, aby powstrzymali publiczną spekulacje na temat jej dokładnego charakteru, aby dać użytkownikom czas na łatanie swoich systemów. Kaminsky planował ujawnić szczegóły tej wady podczas prezentacji na konferencji bezpieczeństwa Black Hat ustalonej na 6 sierpnia.

Niektórzy badacze przyjęli tę prośbę jako osobiste wyzwanie, aby znaleźć błąd przed przemówieniem Kaminsky'ego. Inni skarżyli się, że nie wiedzieli o szczegółach technicznych swojego odkrycia.

W poniedziałek dyrektor generalny Zynamics.com Thomas Dullien (który używa nazwy hakera Halvar Flake) [cq] zgadywał błąd, przyznając, że Niewiele wiedział o DNS.

Jego odkrycia zostały szybko potwierdzone przez Matasano Security, sprzedawcę, który został poinformowany o problemie.

"Kot jest poza workiem." Tak, Halvar Flake odkrył błąd Dana Kaminsky'ego ogłosi w Black Hat ", powiedział Matasano na blogu, który został usunięty w ciągu pięciu minut od 1:30 pm Publikacja wschodnia. Kopie tego postu krążyły wkrótce w Internecie, z których jeden był oglądany przez IDG News Service.

W poście Matasano omówiono szczegóły techniczne błędu, mówiąc, że za pomocą szybkiego połączenia internetowego osoba atakująca może uruchomić to, co jest znane jako ataku polegającego na zatruwaniu pamięci podręcznej DNS na serwer Domain Name i na przykład w przekierowaniu ruchu do złośliwych witryn w ciągu około 10 sekund.

Badacz Matasano Thomas Ptacek odmówił komentarza, czy Flake rzeczywiście wykrył błąd, ale w wywiadzie telefonicznym powiedział, że przedmiot został "przypadkowo wysłany zbyt wcześnie". Ptacek był jednym z niewielu badaczy bezpieczeństwa, którzy otrzymali szczegółowe informacje na temat błędu i zgodzili się nie komentować go, zanim szczegóły zostały upublicznione.

Post Matasano nieumyślnie potwierdził, że Flake poprawnie opisał błąd, przyznał Ptacek.

W poniedziałek Ptacek przeprosił Kaminsky'ego na swoim firmowym blogu. "Żałujemy, że to działało" - napisał. "Usunęliśmy go z bloga, gdy tylko go zobaczyliśmy, ale rozpowszechnianie publikacji internetowych trwa zaledwie kilka sekund."

Atak Kaminsky'ego wykorzystuje kilka znanych błędów DNS, łącząc je w nowatorski sposób, powiedział Cricket Liu wiceprezes architektury z dostawcą urządzeń DNS Infoblox, po obejrzeniu posta Matasano.

Błąd ma związek ze sposobem, w jaki klienci i serwery DNS uzyskują informacje z innych serwerów DNS w Internecie. Gdy oprogramowanie DNS nie zna numerycznego adresu IP (Internet Protocol) komputera, prosi o inny serwer DNS dla tych informacji. Przy zatruwaniu pamięci podręcznej atakujący wyszukuje oprogramowanie DNS, aby uwierzyć, że legalne domeny, takie jak idg.com, są mapowane na złośliwe adresy IP.

W ataku Kaminsky'ego próba zatrucia pamięci podręcznej obejmuje również dane zwane "Dane dodatkowego zasobu". Dodając te dane, atak staje się znacznie potężniejszy, mówią eksperci od bezpieczeństwa. "Połączenie ich jest dość złe" - powiedział Liu.

Osoba atakująca może przeprowadzić taki atak na serwery nazw domeny usługodawcy internetowego, a następnie przekierować je na złośliwe serwery. Na przykład, zatruwając rekord nazwy domeny dla www.citibank.com, atakujący mogli przekierować użytkowników ISP do złośliwego serwera phishingowego za każdym razem, gdy próbowali odwiedzić witrynę bankową za pomocą przeglądarki internetowej.

Kaminsky odmówił potwierdzenia Flake odkrył swój problem, ale w swoim wpisie na swojej stronie internetowej napisał w poniedziałek "13> 0", że 13-dniowa administracja musiała załatać swoją lukę, zanim jej publiczne ujawnienie jest lepsze niż nic.

" Łatka, dzisiaj, teraz, tak, bądźcie spóźnieni ", napisał.

Opublikował test na swojej stronie internetowej, który każdy może znaleźć, jeśli oprogramowanie DNS jego sieci jest załatane