Камински: многие способы атаковать с DNS

6 часов звонков из финских центров сертификации, а также некоторые довольно резкие слова со стороны его сверстников в сообществе безопасности, даже случайно пропустил презентацию Black Hat, но после управления ответом на один из наиболее широко распространенных интернет-недостатков в недавней памяти, Дэн Камински сказал Среда, что он сделает все заново.

Работа Камински в течение последних нескольких месяцев работает с поставщиками программного обеспечения и интернет-компаниями, чтобы исправить распространенный недостаток DNS (системы доменных имен), используемый компьютерами найти друг друга в Интернете. Каминский впервые раскрыл эту проблему 8 июля, предупредив корпоративных пользователей и поставщиков интернет-услуг как можно скорее исправить их программное обеспечение.

В среду он раскрыл более подробную информацию об этой проблеме во время переполненной сессии на конференции Black Hat, в которой описывается головокружительный массив атак, которые могут использовать DNS. Камински также рассказал о некоторой работе, которую он проделал для исправления критических интернет-сервисов, которые также могут быть затронуты этой атакой.

[Подробнее читайте: Лучшие NAS-боксы для потоковой передачи и резервного копирования мультимедиа]

Используя серию ошибки в способе работы протокола DNS, Каминский разработал способ очень быстрого заполнения DNS-серверов с неточной информацией. Преступники могут использовать эту технику для перенаправления жертв на поддельные веб-сайты, но в разговоре Каминского он описал гораздо более возможные типы атак.

Он описал, как этот недостаток можно использовать для компрометации сообщений электронной почты, систем обновления программного обеспечения или даже пароля системы восстановления на популярных веб-сайтах.

И хотя многие считали, что соединения SSL (Secure Socket Layer) были непроницаемы для этой атаки, Камински также показал, как даже SSL-сертификаты, используемые для подтверждения действительности веб-сайтов, можно обойти с помощью DNS-атака. Проблема, по его словам, заключается в том, что компании, выпускающие SSL-сертификаты, используют интернет-услуги, такие как электронная почта и Интернет, для проверки своих сертификатов. «Угадайте, насколько это безопасно перед атакой DNS», - сказал Камински. «Не очень».

«SSL - это не панацея, о которой мы бы хотели, - сказал он.

Еще одна серьезная проблема заключается в том, что Камински говорит об атаке« забыл пароль ». Это затрагивает многие компании, у которых есть системы восстановления паролей на базе Web. Преступники могут заявить, что забыли пароль пользователя на веб-сайт, а затем используют методы хакерства DNS, чтобы обмануть сайт, отправив пароль на свой компьютер.

В дополнение к поставщикам DNS Каминский сказал, что работал с компаниями таких как Google, Facebook, Yahoo и eBay, чтобы исправить различные проблемы, связанные с недостатком. «Я не хочу видеть свой счет в сотовом телефоне в этом месяце», - сказал он.

Хотя некоторые участники конференции заявили в среду, что разговор Каминского был слишком распространен, генеральный директор OpenDNS Дэвид Улевич сказал, что исследователь IOActive сделал ценный сервис в Интернете сообщества. «Весь масштаб атаки еще предстоит полностью реализовать», - сказал он. «Это затрагивает каждого человека в Интернете».

Однако были некоторые икоты. Спустя две недели после того, как Камински впервые обсудил эту проблему, технические подробности об ошибке были случайно просочились в Интернет охранной компанией Matasano Security. Кроме того, некоторые DNS-серверы с высоким трафиком перестали работать должным образом после того, как был применен первоначальный патч, и несколько продуктов брандмауэра, которые выполняют трансляцию адреса протокола Интернета, непреднамеренно отменили некоторые изменения DNS, сделанные для решения этой проблемы.

В интервью после его Презентация Black Hat, Камински сказал, что, несмотря на все неприятности, он все равно повторит то же самое. «Сотни миллионов людей безопаснее, - сказал он. «Все прошло отлично, но это было намного лучше, чем я имел право ожидать».