Usterka w poprawkach internetowych Odradza się od hakerów

Hakerzy są sceptycznie nastawieni, ale to nie przeszkadza Danowi Kaminsky'emu, który dostał wiele błędów od swoich kolegów ze społeczności zajmującej się badaniami nad bezpieczeństwem, twierdząc, że odkrył krytyczny błąd w infrastrukturze internetowej.

Kaminsky trafił na nagłówki we wtorek mówi o poważnej wadzie DNS (Domain Name System), używanej do łączenia komputerów ze sobą w Internecie. Pod koniec marca zgrupował 16 firm, które tworzą oprogramowanie DNS - firmy takie jak Microsoft, Cisco i Sun Microsystems - i nakłonił ich do rozwiązania problemu i wspólnego wydania łat.

Ale niektórzy z rówieśników Kaminsky'ego byli niezadowoleni. To dlatego, że naruszył jedną z głównych zasad ujawniania: ujawniając wady, nie podając szczegółów technicznych, aby zweryfikować swoje ustalenia. W środę zrobił o krok dalej na swoim blogu, prosząc hakerów, aby unikali badania problemu do przyszłego miesiąca, kiedy planuje wydać więcej informacji na ten temat na konferencji bezpieczeństwa Black Hat.

[Czytaj dalej: Najlepsze pudełka NAS dla strumieniowanie i tworzenie kopii zapasowych multimediów]

Ta usterka wydaje się być poważna i może zostać wykorzystana w tak zwanym "ataku polegającym na zatruwaniu pamięci podręcznej". Ataki te zhakują system DNS, wykorzystując go do przekierowania ofiar do złośliwych witryn sieci Web bez ich wiedzy. Są znane od lat, ale mogą być trudne do ściągnięcia. Ale Kaminsky twierdzi, że znalazł bardzo skuteczny sposób przeprowadzenia takiego ataku, ze względu na lukę w projekcie samego protokołu DNS.

We wtorek Kaminsky powstrzymał się od ujawnienia szczegółów technicznych swojego odkrycia.

Powiedział, że chce upublicznić problem, aby wywierać presję na informatykach i dostawcach usług internetowych, aby zaktualizowali swoje oprogramowanie DNS, a jednocześnie utrzymywali złych ludzi w ciemności na temat dokładnego charakteru problemu. Pełne publiczne ujawnienie szczegółów technicznych sprawiłoby, że Internet stałby się niebezpieczny, powiedział w wywiadzie w środę. "W tej chwili żadna z tych rzeczy nie musi być publicznie dostępna."

Szybko otrzymał sceptyczną reakcję od badacza Matasano Security Thomasa Ptacka, który napisał, że atak zatrucia w pamięci podręcznej Kaminsky'ego jest tylko jednym z wielu ujawnień podkreślających ten sam znany problem z DNS - że nie wykonuje wystarczająco dobrze pracy przy tworzeniu liczb losowych, aby tworzyć unikalne ciągi "ID sesji" podczas komunikacji z innymi komputerami w Internecie.

"Błąd w DNS polega na tym, że ma 16-bitowy identyfikator sesji ", powiedział przez e-mail w środę. "Nie możesz wdrożyć nowej aplikacji sieciowej z mniej niż 128-bitowymi identyfikatorami sesji." Wiemy o tym zasadniczym problemie od lat 90. "

" Nadchodzi szturm wywiadów i eksplozja medialna w związku z kolejnym nadmiarowym błędem Dan Kaminsky, "napisał znudzony (i anonimowy) plakat na blogu Matasano.

W serwisie SANS Internet Storm Center, bardzo szanowanym blogu na temat bezpieczeństwa, jeden z blogerów spekulował, że błąd Kaminsky'ego został ujawniony trzy lata wcześniej.

Kaminsky, który jest dyrektorem testów penetracyjnych z dostawcą bezpieczeństwa IOActive, powiedział, że był "niejasno zaskoczony" przez niektóre negatywne reakcje, ale ten rodzaj sceptycyzmu był bardzo ważny dla społeczności hakerów. "Łamie zasady" - przyznał. "W poradniku nie ma wystarczających informacji, aby dowiedzieć się o ataku i chwalę się tym."

Według eksperta od DNS, Paula Vixie, jednego z nielicznych ludzi, który otrzymał szczegółowe informacje na temat odkrycia Kaminsky'ego, różni się od kwestii zgłoszonej trzy lata temu przez SANS. Podczas gdy skaza Kaminsky'ego znajduje się w tym samym obszarze, "to inny problem", powiedział Vixie, który jest prezesem konsorcjum Internet Systems Consortium, twórcy najczęściej używanego oprogramowania serwera DNS w Internecie.

Kwestia jest pilna i powinien zostać natychmiast naprawiony, powiedział David Dagon, badacz DNS w Georgia Tech, który również został poinformowany o błędzie. "Niewielkie szczegóły sprawiły, że kilku z nich zakwestionowało, czy Dan Kaminsky przepakował starszą robotę w atakach DNS", powiedział w wywiadzie mailowym. "Nie można sądzić, że światowi dostawcy usług DNS załatwiliby się i zgodnie ogłosili bez żadnego powodu."

Pod koniec dnia Kaminsky zwrócił się nawet do swojego najbardziej głośnego krytyka, Ptacka Matasana, który opublikował odwołanie na tym blogu po tym, jak Kaminsky wyjaśnił szczegóły swoich badań przez telefon. "Ma dobra" - powiedział później Ptacek. Atak opiera się na wcześniejszych badaniach nad DNS, ale ataki z użyciem cache są niezwykle łatwe do wykonania. "On prawie wziął go do wskazania i kliknął w takim stopniu, że nie widzieliśmy nadchodzącego".

Pozostali krytycy Kaminsky'ego będą musieli poczekać, aż jego prezentacja z 7 sierpnia na 7 sierpnia dowie się na pewno.

Badacz bezpieczeństwa powiedział, że ma nadzieję, że pojawią się w jego rozmowie. "Jeśli nie mam tego exploita", powiedział. "Zasługuję na każdy kawałek gniewu i nieufności."