Компоненты

Исправление интернет-ошибок Спайнс-люфт от хакеров

unboxing turtles slime surprise toys learn colors

unboxing turtles slime surprise toys learn colors
Anonim

Хакеры являются скептическим, но это не мешает Дэн Камински, который получил много денег от своих коллег в сообществе по исследованию безопасности, заявив, что обнаружил критическую ошибку в инфраструктуре Интернета.

Камински сделал заголовки во вторник говоря о серьезном недостатке DNS (Domain Name System), используемом для подключения компьютеров друг к другу в Интернете. В конце марта он объединил 16 компаний, которые делают программное обеспечение DNS - такие компании, как Microsoft, Cisco и Sun Microsystems, - и поговорили с ними об устранении проблемы и совместно выпустили исправления для нее.

Но некоторые из сверстников Каминского не впечатлили. Это связано с тем, что он нарушил одно из основных правил раскрытия: обнародовать недостаток, не предоставляя технические детали для проверки его находок. В среду он сделал еще один шаг в своем блоге, прося хакеров избегать исследования проблемы до следующего месяца, когда он планирует опубликовать дополнительную информацию об этом на конференции по безопасности Black Hat.

[Читать дальше: Лучшие NAS-боксы для потоковое мультимедиа и резервное копирование]

Недостаток, похоже, серьезный, который может быть использован в так называемой атаке, связанной с отравлением кеша. Эти атаки взломают систему DNS, используя ее для перенаправления жертв на вредоносные веб-сайты без их ведома. Они известны в течение многих лет, но их трудно оттянуть. Но Камински утверждает, что нашел очень эффективный способ начать такую ​​атаку, благодаря уязвимости в разработке самого протокола DNS.

Во вторник, однако, Каминский отвлекся от раскрытия технических деталей своего вывода.

Он сказал, что хочет опубликовать эту проблему, чтобы оказать давление на корпоративных ИТ-специалистов и поставщиков интернет-услуг, чтобы обновить свое программное обеспечение DNS, и в то же время поддерживать плохих парней в темноте относительно точной природы проблемы. Полное публичное раскрытие технических деталей сделало бы Интернет небезопасным, сказал он в интервью в среду. «Прямо сейчас, ни один из этих материалов не должен публиковаться».

Он быстро получил скептическую реакцию со стороны исследователя безопасности Матасано Томаса Птачека, который сообщил, что нападение с отравлением кэшем Камински является лишь одним из многих раскрытий, подчеркивающих ту же самую известную проблему с DNS - что он не делает достаточно хорошую работу по созданию случайных чисел для создания уникальных строк «идентификатор сеанса» при общении с другими компьютерами в Интернете.

«Ошибка в DNS заключается в том, что она имеет 16-разрядную идентификатор сеанса », - сказал он через электронную почту в среду. «Вы не можете развернуть новое веб-приложение с менее чем 128-битными идентификаторами сеанса. Мы знаем об этой фундаментальной проблеме с 90-х годов.»

«Здесь наступает натиск интервью и взрыва СМИ для другой избыточной ошибки Дэном Каминьским », написал в блоге Матасано измученный (и анонимный) плакат.

В рамках SANS Internet Storm Center, очень уважаемого блога безопасности, один блогер предположил, что ошибка Каминского была фактически раскрыта тремя годами ранее.

Камински, который является директором тестирования проникновения с поставщиком безопасности IOActive, сказал, что он был «смутно удивлен» некоторой негативной реакцией, но этот скептицизм был жизненно важен для сообщества хакеров. «Я нарушаю правила, - признался он. «В консультациях недостаточно информации для выяснения атаки, и я хвастаюсь об этом».

По словам эксперта DNS Пол Викси, одного из немногих людей, которому был дан подробный брифинг о нахождении Каминского, это отличается от вопроса, сообщенного три года назад SANS. В то время как недостаток Каминского находится в том же районе, «это другая проблема», - сказала Викси, которая является президентом консорциума Internet Systems, создателя наиболее широко используемого программного обеспечения DNS-сервера в Интернете.

Проблема актуальна и должен быть исправлен немедленно, сказал Дэвид Дагон, исследователь DNS в Georgia Tech, который также был проинформирован об ошибке. «С редкими деталями несколько сомневаются в том, что Дэн Камински переупал более старую работу в атаках DNS», - сказал он в интервью по электронной почте. «Невозможно подумать, что поставщики DNS в мире будут исправлены и объявлены в унисон без каких-либо причин».

К концу дня Каминский даже превратил своего самого вокального критика, Птачека Матасано, который опубликовал ретракцию в этом блоге после того, как Каминский объяснил детали своих исследований по телефону. «У него есть товар», - сказал Птачек после этого. Несмотря на то, что атака основывается на предыдущих исследованиях в области DNS, это делает атаки с использованием кэширования чрезвычайно легкими для снятия. «Он в значительной степени взял его, чтобы указать и нажимать до такой степени, что мы не видели приближения».

Остальные критики Камински должны будут ждать, пока его 7 августа презентация Black Hat не узнает наверняка.

Исследователь безопасности сказал, что надеется, что они появятся для его разговора. «Если у меня нет эксплойта, - сказал он. «Я заслуживаю всякого гнева и недоверия».