Ang Internet ay nakakakuha ng Patch, dahil ang DNS Bug ay Fixed

Ang bug ay natuklasan "sa pamamagitan ng kumpletong aksidente," ni Dan Kaminsky, isang mananaliksik na may security vendor na IOActive. Si Kaminsky, isang dating empleyado ng Cisco Systems, ay kilala na sa kanyang trabaho sa networking.

Sa pamamagitan ng pagpapadala ng ilang mga uri ng mga query sa mga DNS server, maaring i-redirect ng magsasalakay ang mga biktima mula sa isang lehitimong Web site - sinasabi, Bofa.com - sa isang malisyosong Web site nang hindi napagtatanto ito ng biktima. Ang ganitong uri ng pag-atake, na kilala bilang DNS cache pagkalason, ay hindi nakakaapekto lamang sa Web. Maaari itong magamit upang i-redirect ang lahat ng trapiko sa Internet sa mga server ng hacker.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang bug ay maaaring pinagsamantalahan "tulad ng pag-atake sa phishing na walang pagpapadala sa iyo ng e-mail, "sabi ni Wolfgang Kandek, punong teknikal na opisyal na may kumpanya ng seguridad Qualys.

Kahit na ang kapintasan na ito ay nakakaapekto sa ilang mga routers sa bahay at software ng DNS ng kliyente, kadalasan ito ay isang isyu para sa mga gumagamit ng korporasyon at mga ISP (mga service provider ng Internet) na nagpapatakbo ng mga DNS server na ginagamit sa pamamagitan ng mga PC upang makita ang kanilang paraan sa Internet, sinabi ni Kaminsky. "Ang mga user ng bahay ay hindi dapat panic," sinabi niya sa isang conference call sa Martes.

Matapos matuklasan ang bug ilang buwan na ang nakakaraan, agad na binaril ni Kaminsky ang isang grupo ng mga 16 eksperto sa seguridad na responsable para sa mga produkto ng DNS, na nakilala sa Microsoft noong Marso 31 upang tukuyin ang isang paraan upang ayusin ang problema. "Nakipag-ugnayan ako sa iba pang mga guys at sinabi, 'Mayroon kaming isang problema,'" sabi ni Kaminsky. "Ang tanging paraan na magagawa natin ito ay kung magkakaroon kami ng sabay-sabay na paglabas sa lahat ng mga platform."

Ang napakalaking pag-aayos ng bug nangyari Martes nang ang ilan sa mga pinakalawak na ginagamit na provider ng software ng DNS ay naglabas ng mga patch. Ang Microsoft, Cisco, Red Hat, Sun Microsystems at ang Internet Software Consortium, ang mga gumagawa ng pinakalawak na ginamit na DNS server software, ay na-update ang lahat ng kanilang software upang matugunan ang bug.

Ang open source BIND (Software Berkeley Internet ng Internet Software Consortium Domain) ay tumatakbo sa halos 80 porsiyento ng mga DNS server ng Internet. Para sa karamihan ng mga gumagamit ng BIND, ang pag-ayos ay isang simpleng pag-upgrade, ngunit para sa tinatayang 15 porsiyento ng mga gumagamit ng BIND na hindi pa inilipat sa pinakabagong bersyon ng software, BIND 9, maaaring mas mahirap ang mga bagay.

That's dahil ang mas lumang mga bersyon ng BIND ay may ilang mga tanyag na tampok na binago kapag BIND 9 ay inilabas, ayon sa Joao Damas, senior program manager para sa Internet Software Consortium.

Kaminsky ng bug ay may kinalaman sa paraan ng DNS mga kliyente at mga server makakuha ng impormasyon mula sa ibang mga DNS server sa Internet. Kapag ang DNS software ay hindi alam ang numerical IP (Internet Protocol) na address ng isang computer, humihingi ito ng isa pang DNS server para sa impormasyong ito. Sa pagkalason ng cache, sinasalakay ng pag-atake ang software ng DNS sa paniniwalang ang mga lehitimong domain, tulad ng Bofa.com, ang mapa sa mga nakakahamak na IP address.

Mga mananaliksik ng seguridad ay may alam tungkol sa mga paraan upang mailunsad ang mga pag-atake ng pagkalason sa cache laban sa mga DNS server nang ilang panahon ngayon, ngunit kadalasan ang mga pag-atake na ito ay nangangailangan ng mga attackers na magpadala ng maraming data sa DNS server na sinusubukan nilang makahawa, na ginagawang madali ang pag-atake upang makita at harangan. Gayunpaman, natuklasan ni Kaminsky ang isang mas epektibong paraan upang maglunsad ng isang matagumpay na atake.

Dahil ang kamalian ni Kaminsky ay namamalagi sa disenyo ng DNS mismo, walang madaling paraan upang ayusin ito, sinabi ni Damas. Sa halip, ang mga kumpanya na tulad ng ISC ay nagdagdag ng isang bagong panukalang seguridad sa kanilang software na nagiging mas mahirap para sa pagkalason ng cache upang gumana.

Gayunpaman, sa katagalan, ang pinaka-epektibong paraan upang makitungo sa pagkalason sa cache ay ang magpatibay ng isang mas ligtas bersyon ng DNS, na tinatawag na DNSSEC sinabi Danny McPherson, punong opisyal ng pananaliksik na may Arbor Networks. Ang fix ng Martes ay karaniwang "isang tadtarin na ginagawang mas mahirap," ang sabi niya. "Ngunit hindi ito ayusin ang ugat problema."

Sinabi ni Kaminsky na magbibigay siya ng mga administrator ng network sa isang buwan upang i-patch ang kanilang software bago ihayag ang higit pang mga teknikal na detalye sa kapintasan sa Black Hat conference sa susunod na buwan sa Las Vegas. Sa pansamantala, nag-post siya ng code sa kanyang Web site na nagpapahintulot sa mga user na makita kung ang patakaran ng DNS ng kanilang corporate o ISP.