Kaminsky: Mnoho způsobů útoku s DNS

Kaminský práce na plný úvazek v posledních několika měsících spolupracuje s dodavateli softwaru a internetovými společnostmi, aby opravili rozšířenou chybu v systému doménových jmen DNS používaném počítači najít si navzájem na internetu. Kaminsky poprvé odhalil problém 8. července a varoval firemní uživatele a poskytovatele internetových služeb, aby co nejrychleji opravili svůj software.

Ve středu uvedl více podrobností problému během přeplněného zasedání na konferenci Black Hat, závratné pole útoků, které by mohly využít DNS. Kaminsky také hovořil o některé práci, kterou udělal, aby opravil kritické internetové služby, které by mohly být také napadeny tímto útokem.

Využitím řady chyby ve způsobu fungování protokolu DNS, Kaminsky zjistil způsob, jak velmi rychle vyplnit DNS servery s nepřesnými informacemi. Kriminálové by mohli tuto techniku ​​použít k přesměrování obětí na falešné webové stránky, ale v rozhovorech o Kaminskych popsal mnoho dalších možných typů útoků.

Popisoval, jak může být chyba použita k ohrožení e-mailových zpráv, systémů pro aktualizaci softwaru nebo dokonce hesla [

] A ačkoli mnozí si mysleli, že připojení SSL (Secure Socket Layer) bylo tomuto útoku nepropojitelné, Kaminsky také ukázal, že i SSL certifikáty použité k potvrzení platnosti webových stránek by mohly být obcházeny Útok DNS. Problémem je, že společnosti, které vydávají certifikáty SSL, používají internetové služby jako e-mail a web k ověření svých certifikátů. "Hádej, jak bezpečná je tváří v tvář útoku DNS," řekl Kaminsky. "Není to tak."

"SSL není všelékem, který bychom chtěli být," řekl.

Dalším závažným problémem je to, co Kaminsky říká, že je útok "zapomněl heslo". To se týká mnoha společností, které mají systémy pro obnovu hesla na webu. Zločinci mohou tvrdit, že zapomněli heslo uživatele na webový server a následně používali techniky hackování DNS k tomu, aby stránky odhalili a zasílali heslo do svého počítače.

Kromě prodejců DNS řekl Kaminsky, že spolupracoval s firmami jako jsou Google, Facebook, Yahoo a eBay, aby vyřešily různé problémy spojené s chybou. "I když se někteří účastníci konference slíbili, že Kaminský rozhovor byl přehnaný, generální ředitel společnosti OpenDNS, David Ulevitch, řekl, že výzkumný pracovník IOActive vykonal cennou službu na internetu společenství. "Celý rozsah útoku je ještě dokonce plně realizován," řekl. "To ovlivňuje každou jednotlivou osobu na internetu."

Nicméně se vyskytly nějaké škytavky. Dva týdny poté, co Kaminsky poprvé diskutovali o problému, technické chyby chyby byly náhodně propuštěny na internet bezpečnostní společností Matasano Security. Některé servery DNS s vysokou návštevností přestaly správně fungovat po počáteční opravě a několik produktů brány firewall, které provádějí překlad adres IP, neúmyslně zrušily některé změny DNS, které byly řešeny za účelem řešení tohoto problému.

V rozhovoru po jeho Představení Black Hat, řekl Kaminsky, že navzdory všem potížím bude stále dělat totéž. "Stovky milionů lidí jsou bezpečnější," řekl. "Věci nepocházely perfektně, ale bylo to mnohem lepší, než jsem měl právo očekávat."