Kaminsky: Wiele sposobów na atak DNS

6 rano od fińskich urzędów certyfikacji, a także kilka bardzo ostrych słów od rówieśników ze społeczności bezpieczeństwa, nawet przypadkowo ujawniona prezentacja w Black Hat, ale po zarządzeniu odpowiedzią na jedną z najbardziej nagłośnionych luk w Internecie w niedawnej pamięci, Dan Kaminsky powiedział W środę, że znowu to zrobi.

W ciągu ostatnich kilku miesięcy Kaminsky pracował z dostawcami oprogramowania i firmami internetowymi w celu naprawienia powszechnego błędu w DNS (systemie nazw domen) używanym przez komputery znaleźć się w Internecie. Kaminsky po raz pierwszy ujawnił problem w dniu 8 lipca, ostrzegając użytkowników korporacyjnych i dostawców usług internetowych, aby łatali oprogramowanie tak szybko, jak to możliwe.

W środę ujawnił więcej szczegółów tego zagadnienia podczas zatłoczonej sesji na konferencji Black Hat, opisując oszałamiający szereg ataków, które mogą wykorzystać DNS. Kaminsky mówił także o pracy, którą wykonał w celu naprawienia krytycznych usług internetowych, które mogą zostać dotknięte tym atakiem.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i kopii zapasowych]

Wykorzystując serię Błędy w sposobie działania protokołu DNS, Kaminsky wymyślił sposób na bardzo szybkie wypełnienie serwerów DNS niedokładnymi informacjami. Przestępcy mogą użyć tej techniki do przekierowania ofiar do fałszywych stron internetowych, ale w rozmowach Kaminsky'ego opisał on wiele innych możliwych typów ataków.

Opisał, w jaki sposób można wykorzystać lukę do złamania zabezpieczeń wiadomości e-mail, systemów aktualizacji oprogramowania lub nawet hasła systemy odzyskiwania na popularnych witrynach internetowych.

I choć wielu uważało, że połączenia SSL (Secure Socket Layer) są odporne na ten atak, Kaminsky pokazał także, że nawet certyfikaty SSL użyte do potwierdzenia ważności stron internetowych można obejść za pomocą Atak DNS. Problem polega na tym, że firmy wydające certyfikaty SSL korzystają z usług internetowych, takich jak poczta e-mail i Internet, w celu sprawdzania swoich certyfikatów. "Zgadnij, jak bezpieczne jest to w obliczu ataku DNS" - powiedział Kaminsky. "Nie bardzo."

"SSL nie jest panaceum, który chcielibyśmy" - powiedział.

Kolejnym poważnym problemem jest to, co Kaminsky mówi o ataku "zapomniałem hasła". Dotyczy to wielu firm, które mają internetowe systemy odzyskiwania haseł. Przestępcy mogliby twierdzić, że zapomnieli hasła użytkownika do witryny sieci Web, a następnie za pomocą technik hakerskich DNS oszukać witrynę w celu wysłania hasła do własnego komputera.

Oprócz dostawców DNS, Kaminsky powiedział, że pracował z firmami takich jak Google, Facebook, Yahoo i eBay, aby naprawić różne problemy związane z luką. "Nie chcę widzieć rachunku za telefon komórkowy w tym miesiącu", powiedział.

Chociaż niektórzy uczestnicy konferencji powiedzieli w środę, że rozmowa Kaminsky'ego była przesadzona, CEO OpenDNS, David Ulevitch, powiedział, że badacz IOActive wykonał cenną usługę dla Internetu społeczność. "Cały zakres ataku nie został jeszcze w pełni zrealizowany" - powiedział. "Wpływa to na każdą osobę w Internecie."

Jednak zdarzają się pewne problemy. Dwa tygodnie po tym, jak Kaminsky po raz pierwszy omówił problem, dane techniczne błędu zostały przypadkowo ujawnione w Internecie przez firmę ochroniarską Matasano Security. Ponadto niektóre serwery DNS o dużym natężeniu ruchu przestały działać poprawnie po zastosowaniu początkowej łaty, a kilka produktów zapory, które wykonują translację adresów IP, nieumyślnie cofnęło niektóre zmiany DNS wprowadzone w celu rozwiązania tego problemu.

W wywiadzie po jego Prezentacja w Czarnym Kapeluszu, Kaminsky powiedział, że mimo wszystkich kłopotów, nadal robiłby to samo. "Setki milionów ludzi są bezpieczniejsze", powiedział. "Sprawy nie układały się idealnie, ale poszły o wiele lepiej, niż miałem prawo oczekiwać."