Kaminsky: Monilla tapoilla hyökätä DNS

Kaminsky on viime kuukausien kokopäiväistä työtä tehnyt yhteistyötä ohjelmistotoimittajien ja internet-yritysten kanssa, jotta he voivat korjata laajan haitta DNS: n (verkkotunnuksen järjestelmässä) löytää toisiaan Internetissä. Kaminsky esitteli ongelman ensimmäisen kerran 8. heinäkuuta, varoittaen yrityskäyttäjiä ja Internet-palveluntarjoajia päivittämään ohjelmiston mahdollisimman nopeasti.

Keskiviikkona hän esitteli lisätietoja aiheesta Black Hat -konferenssin tungosta. huijaavaa joukko hyökkäyksiä, jotka voisivat hyödyntää DNS: tä. Kaminsky puhui myös töistä, jotka hän oli tehnyt kriittisten Internet-palveluiden korjaamiseksi, joita voisi myös osua tämän hyökkäyksen kanssa.

[Lue lisää: Mediasoittimen ja varmuuskopioinnin parhaat NAS-laatikot]

vikoja DNS-protokollan toimimisessa, Kaminsky oli keksinyt tapa nopeasti täyttää DNS-palvelimet epätäsmällisillä tiedoilla. Rikolliset voisivat käyttää tätä tekniikkaa ohjata uhreja väärennettyihin Web-sivustoihin, mutta Kaminskyn puheessa hän kuvaili monia muita mahdollisia hyökkäyksiä.

Hän kuvaili, miten virhe voisi käyttää kompromisseihin sähköpostiviesteistä, ohjelmistopäivitysjärjestelmistä tai jopa salasanasta

Vaikka monet olivat ajatelleet, että SSL (Secure Socket Layer) -liitännät olivat läpäisemättömiä tämän hyökkäyksen suhteen, Kaminsky osoitti myös, kuinka jopa SSL-sertifikaatit, joilla vahvistettiin verkkosivustojen kelvollisuutta, voitaisiin kiertää DNS-hyökkäys. Ongelma, hän sanoi, on se, että SSL-sertifikaattien antavat yritykset käyttävät Internet-palveluita, kuten sähköpostia ja verkkoa, vahvistaakseen sertifikaattiensa. "Arvaa, kuinka turvallinen on DNS-hyökkäyksen edessä", Kaminsky sanoi. "Ei kovin."

"SSL ei ole ihmelääke, jonka haluamme sen olevan", hän sanoi.

Toinen merkittävä ongelma on se, mitä Kaminsky sanoo "unohda salasanani". Tämä vaikuttaa useisiin yrityksiin, joilla on WWW-pohjaiset salasanan palautusjärjestelmät. Rikolliset voivat väittää unohtaneen käyttäjän salasanan verkkosivustolle ja käyttävät sitten DNS-hakkerointitekniikkaa tempaamaan sivuston lähettämällä salasanan omalle tietokoneelleen.

DNS-toimittajien lisäksi Kaminsky sanoi, että hän oli työskennellyt yritysten kanssa kuten Google, Facebook, Yahoo ja eBay, korjaamaan virheeseen liittyvät erilaiset ongelmat. "En halua nähdä matkapuhelintulkintaani tässä kuussa", hän sanoi.

Vaikka jotkut konferenssin osanottajat sanoivat keskiviikkona, että Kaminskyn puheenvuoro oli ylikuormitettu, OpenDNS: n toimitusjohtaja David Ulevitch totesi, että IOActive-tutkija on tehnyt arvokasta palvelua Internetiin Yhteisö. "Koko hyökkäyksen laajuus on vielä täysin toteutunut," hän sanoi. "Tämä vaikuttaa jokaiseen ihmiseen internetissä."

Kuitenkin on ollut joitain hikkaita. Kaksi viikkoa sen jälkeen, kun Kaminsky keskusteli ongelmasta, tietoturvayhtiö Matasano Security laittoi vahingossa tekniset tiedot bugista Internetiin. Myös jotkut suuren liikenteen DNS-palvelimet pysähtyivät kunnolla, kun alkuperäistä korjauspäivitystä sovellettiin, ja useat palomuurituotteet, jotka tekevät Internet-protokolla-osoitteen käännöstä, ovat vahingossa kumoaneet joitain DNS-muutoksia tämän ongelman ratkaisemiseksi.

Black Hat esitys, Kaminsky sanoi, että huolimatta kaikista haasteista, hän olisi edelleen sama asia uudelleen. "Sadat miljoonat ihmiset ovat turvallisempia", hän sanoi. "Asiat eivät menneet täydellisesti, mutta se meni niin paljon paremmin kuin minulla oli mitään oikeutta odottaa."