Internet Bug Fix Spawns Backlash From Hackers

Kaminsky ginawa headline sa Martes sa pamamagitan ng usap tungkol sa isang malaking kapintasan sa DNS (Domain Name System), na ginagamit upang kumonekta ng mga computer sa bawat isa sa Internet. Sa huli ng Marso, pinagsama niya ang 16 na kumpanya na gumagawa ng software ng DNS - mga kumpanya tulad ng Microsoft, Cisco at Sun Microsystems - at sinambit ang mga ito sa pag-aayos ng problema at magkakasamang naglalabas ng mga patches para dito.

Ngunit ang ilan sa mga kasamahan ni Kaminsky ay hindi napapansin. Iyon ay dahil nilabag niya ang isa sa mga kardinal na tuntunin ng pagsisiwalat: pagpapahayag ng isang depekto nang hindi nagbibigay ng mga teknikal na detalye upang i-verify ang kanyang paghahanap. Sa Miyerkules siya ay kumuha ng mga bagay sa isang karagdagang hakbang sa kanyang blog, na humihiling sa mga hacker na maiwasan ang pagsasaliksik ng problema hanggang sa susunod na buwan, kapag siya ay nagplano na maglabas ng karagdagang impormasyon tungkol dito sa Black Hat security conference. streaming ng media at backup]

Lumilitaw na ang depekto ay isang seryoso na maaaring gamitin sa tinatawag na "cache poisoning attack". Ang mga pag-atake na ito ay nag-hack sa DNS system, ginagamit ito upang i-redirect ang mga biktima sa mga malisyosong Web site na walang kaalaman. Sila ay kilala tungkol sa para sa taon ngunit maaaring maging mahirap na pull off. Sinabi ni Kaminsky na natagpuan ang isang napaka-epektibong paraan ng paglunsad ng gayong pag-atake, salamat sa isang kahinaan sa disenyo ng DNS protocol mismo.

Sa Martes, gayunpaman, pinigil si Kaminsky mula sa pagsisiwalat ng mga teknikal na detalye ng kanyang paghahanap.

Sinabi niya na gusto niyang mapalabas ang publiko sa isyu upang maitaguyod ang mga IT corporate staff at mga nagbibigay ng serbisyo sa Internet upang i-update ang kanilang software ng DNS, samantalang pinananatili ang masasamang tao sa madilim tungkol sa tiyak na katangian ng problema. Ang isang buong pampublikong pagsisiwalat ng mga teknikal na detalye ay gagawing hindi ligtas sa Internet, sinabi niya sa isang pakikipanayam Miyerkules. "Sa ngayon, wala sa mga bagay na ito ang kailangang pumunta sa publiko."

Siya ay mabilis na tumanggap ng isang nag-aalinlangan na reaksyon mula sa researcher ng Matasano Security na si Thomas Ptacek, na nag-blog na ang pag-atake sa pagkalason ng cache ng Kaminsky ay isa lamang sa maraming mga pagbubunyag na nakasulat sa parehong kilalang problema may DNS - na hindi ito gumagawa ng isang mahusay na trabaho sa paglikha ng mga random na numero upang lumikha ng mga natatanging mga string ng "session ID" kapag nakikipag-ugnayan sa ibang mga computer sa Internet.

"Ang bug sa DNS ay mayroon itong 16-bit session ID, "sinabi niya sa pamamagitan ng isang e-mail Miyerkules. "Hindi ka maaaring maglagay ng bagong Web app na may mas kaunti sa 128-bit na mga ID ng session. Alam namin ang tungkol sa pangunahing problema mula noong '90s."

"Narito ang pagsalakay ng mga panayam at pagsabog ng media para sa isa pang overhyped bug sa pamamagitan ng Dan Kaminsky, "sinulat ng isang jaded (at hindi nakikilalang) poster sa Matasano blog.

Higit sa SANS Internet Storm Center, isang mataas na iginagalang na blog ng seguridad, tinukoy ng isang blogger na bug ni Kaminsky ang nabunyag tatlong taon na ang nakakaraan.

Si Kaminsky, na direktor ng pagtagos sa pagsubok sa security vendor na IOActive, ay nagsabi na siya ay "kamangha-mangha ay nagulat" sa pamamagitan ng ilan sa mga negatibong reaksyon, ngunit ang ganitong uri ng pag-aalinlangan ay mahalaga sa komunidad ng hacker. "Nilabag ko ang mga panuntunan," inamin niya. "Walang sapat na impormasyon sa advisory upang malaman ang atake at ako ay naghambog tungkol dito."

Ayon sa DNS expert Paul Vixie, isa sa ilang mga tao na binigyan ng isang detalyadong pagtatagubilin sa paghahanap ni Kaminsky, ito ay naiiba mula sa isyu na iniulat tatlong taon na ang nakakaraan sa pamamagitan ng SANS. Habang ang lamat ni Kaminsky ay nasa parehong lugar, "ito ay isang iba't ibang problema," sabi ni Vixie, na siyang presidente ng Internet Systems Consortium, ang gumagawa ng pinakalawak na ginagamit na DNS server software sa Internet.

Ang isyu ay kagyat at ay dapat na patched kaagad, sinabi David Dagon, isang DNS pananaliksik sa Georgia Tech na din sa briefed sa bug. "Sa mga kalat-kalat na detalye, ang ilang mga questioned kung Dan Kaminsky ay repackaged mas lumang trabaho sa pag-atake ng DNS," sinabi niya sa isang e-mail na pakikipanayam. "Hindi magagawa ang pag-iisip na ang mga vendor ng DNS sa buong mundo ay magkakaroon ng patched at inihayag nang sabay-sabay nang walang dahilan."

Sa pagtatapos ng araw, si Kaminsky ay nakabalik pa sa kanyang pinaka-tinig na kritiko, ang Pasanas ng Matasano, na nagbigay ng pagbawi sa blog na ito matapos ipaliwanag ni Kaminsky ang mga detalye ng kanyang pananaliksik sa telepono. "Mayroon siyang mga kalakal," sabi ni Ptacek pagkatapos. Habang ang pag-atake ay nagtatayo sa nakaraang pananaliksik ng DNS, ginagawa nito ang mga pag-atake ng cache ng pagkalason na napakadaling i-pull off. "Siya ay halos kinuha ito upang ituro at i-click sa isang lawak na hindi namin makita ang darating."

Kaminsky natitirang kritiko ay kailangang maghintay hanggang sa kanyang Agosto 7 Pagtatanghal ng Black Hat alam tiyak, gayunpaman.

Sinabi ng tagapangasiwa ng seguridad na inaasahan niya na lumabas sila para sa kanyang pahayag. "Kung wala akong pagsasamantala," sabi niya. "Karapat-dapat ako ng bawat piraso ng galit at kawalan ng tiwala."