Сведения об основном недостатке Интернета Опубликовано аварийной ситуацией

Компьютерная безопасность компания в понедельник непреднамеренно опубликовала данные о серьезной ошибке в системе доменных имен в Интернете за несколько недель до того, как они должны были быть раскрыты.

Исчезновение было обнаружено несколько месяцев назад исследователем IOActive Дэн Камински, который работал через ранние часть этого года с поставщиками программного обеспечения для Интернета, такими как Microsoft, Cisco и консорциум Internet Systems, чтобы исправить эту проблему.

Компании выпустили исправление для этой ошибки две недели назад и призвали корпоративных пользователей и поставщиков интернет-услуг исправлять свои DNS-системы как можно быстрее. Несмотря на то, что проблема может затронуть некоторых домашних пользователей, это не считается основной проблемой для потребителей, по словам Каминского.

[Дальнейшее чтение: лучшие NAS-боксы для потоковой передачи и резервного копирования мультимедиа]

В то время, когда он объявил, что Камински попросил членов исследовательского сообщества по безопасности отвлечься от публичных спекуляций о его точной природе, чтобы дать пользователям время для исправления своих систем. Камински планировал раскрыть детали ошибки во время презентации на конференции по безопасности Black Hat, установленной для 6 августа.

Некоторые исследователи восприняли эту просьбу как личный вызов, чтобы найти недостаток перед разговором Каминского. Другие пожаловались на то, что его держали в темноте о технических деталях его находок.

В понедельник генеральный директор Zynamics.com Томас Даллиен (который использует хакерское название Halvar Flake) [cq] угадал ошибку, признав, что он очень мало знали о DNS.

Его результаты были быстро подтверждены Matasano Security, продавцом, который был проинформирован об этом.

«Кошка вышла из сумки. Да, Хальвар Флэйк выяснил недостаток Дэн Камински объявит в Black Hat », - сказал Матасано в блоге, который был удален в течение пяти минут после его 1:30 вечера Восточная публикация. Копии этой почты вскоре распространились в Интернете, один из которых был просмотрен службой новостей IDG.

В сообщении Матасано обсуждаются технические детали ошибки, в которых говорится, что, используя быстрое подключение к Интернету, злоумышленник может запустить так называемый атака IP-кэша DNS-сервера на сервер доменных имен и преемственность, например, при перенаправлении трафика на вредоносные веб-сайты в течение примерно 10 секунд.

Исследователь Matasano Томас Птачек отказался комментировать, действительно ли Флэйк выяснил недостаток, но в телефонном интервью он сказал, что этот предмет был «случайно отправлен слишком рано». Птачек был одним из немногих исследователей безопасности, которому был дан подробный брифинг об ошибке, и согласился не комментировать его до того, как были обнародованы детали.

Сообщение Матасано неосторожно подтвердило, что Флэк правильно описал этот недостаток, сказал Птачек.

Поздний понедельник Птачек извинился перед Каминским в своем блоге компании. «Мы сожалеем, что он побежал», - писал он. «Мы удалили его из блога, как только увидели его. К сожалению, для распространения интернет-публикаций требуется всего несколько секунд».

Атака Камински использует несколько известных DNS-ошибок, объединяя их по-новому, сказал Крикет Лю вице-президент по архитектуре с поставщиком устройств Infoblox от DNS после просмотра сообщения Matasano.

Ошибка связана с тем, как клиенты и серверы DNS получают информацию от других DNS-серверов в Интернете. Когда программное обеспечение DNS не знает адрес IP-адреса компьютера (Internet Protocol), он запрашивает у этого DNS-сервера другой DNS-сервер. С отравлением кэша злоумышленник обманывает программное обеспечение DNS, полагая, что легитимные домены, такие как idg.com, сопоставляются с вредоносными IP-адресами.

В атаке Камински попытка отравления кэша также включает в себя то, что известно как данные «Дополнительные ресурсы», Добавляя эти данные, атака становится намного более сильной, говорят эксперты по безопасности. «Сочетание их довольно плохое», - сказал Лю.

Злоумышленник может запустить такую ​​атаку на серверы имен доменов интернет-провайдера, а затем перенаправить их на вредоносные серверы. Например, отравив запись имени домена для www.citibank.com, злоумышленники могли перенаправить пользователей интернет-провайдера на вредоносный сервер фишинга каждый раз, когда они пытались посетить банковский сайт с помощью своего веб-браузера.

Камински отказался подтвердить, что Флэйк обнаружил его проблему, но в понедельник на своем веб-сайте он написал «13> 0», по-видимому, комментарий о том, что администраторы 13 дней должны были исправлять свой недостаток до того, как его публичное раскрытие лучше, чем ничего.

" Патч. Сегодня. Да, опаздывайте », - писал он.

Он опубликовал на своем веб-сайте тест, который каждый может запустить, чтобы найти, будет ли исправлено программное обеспечение DNS своей сети