Взаимодействие c DNS. Урок 3
Ang full-time na trabaho ni Kaminsky sa nakalipas na ilang buwan ay nagtatrabaho sa mga vendor ng software at mga kompanya ng Internet upang ayusin ang isang malawakang kapintasan sa DNS (domain name system), na ginagamit ng mga computer upang mahanap ang bawat isa sa Internet. Sinabi ni Kaminsky ang problema noong Hulyo 8, na nagbababala sa mga gumagamit ng korporasyon at mga tagapagkaloob ng serbisyo sa Internet upang maitumbok ang kanilang software sa lalong madaling panahon.
Noong Miyerkules, binanggit niya ang higit pang mga detalye ng isyu sa isang sesyon ng karamihan sa Black Hat conference, na naglalarawan ng isang dizzying array ng mga atake na maaaring pagsamantalahan ng DNS. Sinabi rin ni Kaminsky ang ilan sa mga gawain na ginawa niya upang ayusin ang mga kritikal na serbisyong Internet na maaari ring ma-hit sa atake na ito.
[Karagdagang pagbabasa: Pinakamahusay na mga kahon ng NAS para sa streaming ng media at backup]
Sa pamamagitan ng pagsasamantala ng isang serye ng Ang mga bug sa paraan ng DNS protocol ay gumagana, Kaminsky ay may korte ng isang paraan upang mabilis na punan DNS server na may hindi tumpak na impormasyon. Maaaring gamitin ng mga kriminal ang pamamaraan na ito upang i-redirect ang mga biktima sa mga pekeng Web site, ngunit sa pag-uusap ni Kaminsky inilarawan niya ang maraming iba pang posibleng mga uri ng pag-atake.Inilarawan niya kung paano maaaring gamitin ang kapintasan upang ikompromiso ang mga mensaheng e-mail, mga software updating system o kahit na password ang mga sistema ng pagbawi sa mga sikat na Web site.
At bagaman marami ang nag-isipan na ang mga koneksyon ng SSL (Secure Socket Layer) ay hindi sinasadya sa pag-atake na ito, ipinakita rin ni Kaminsky kung papaanong ang mga SSL certificate na ginamit upang kumpirmahin ang bisa ng mga Web site ay maaaring iwasan Atake DNS. Ang problema, sinabi niya, ay ang mga kumpanya na naglalabas ng mga sertipiko ng SSL na gumagamit ng mga serbisyo sa Internet tulad ng e-mail at Web upang patunayan ang kanilang mga sertipiko. "Hulaan kung gaano kaligtas na nasa harap ng pag-atake ng DNS," sabi ni Kaminsky. "Hindi masyadong."
"Ang SSL ay hindi ang kaguluhan na gusto natin," sabi niya.
Ang isa pang pangunahing problema ay kung ano ang sinabi ni Kaminsky na "nakalimutan ang aking password" atake. Nakakaapekto ito sa maraming mga kumpanya na may mga Web-based password recovery system. Maaaring i-claim ng mga kriminal na nakalimutan ang isang password ng gumagamit sa Web site at pagkatapos ay gumamit ng mga pamamaraan ng pag-hack ng DNS upang linlangin ang site sa pagpapadala ng password sa kanilang sariling computer.
Bilang karagdagan sa mga DNS vendor, sinabi ni Kaminsky na nagtrabaho siya sa mga kumpanya tulad ng Google, Facebook, Yahoo at eBay upang ayusin ang iba't ibang mga problema na may kaugnayan sa kapintasan. "Hindi ko nais na makita ang aking cell phone bill sa buwan na ito," sabi niya.
Kahit ilang mga conference attendees sinabi Miyerkules na ang Kaminsky ng talk ay overhyped, OpenDNS CEO David Ulevitch sinabi na ang IOActive mananaliksik ay gumaganap ng isang mahalagang serbisyo sa Internet komunidad. "Ang buong saklaw ng atake ay pa rin na ganap na natanto," sinabi niya. "Ito ay nakakaapekto sa bawat isang tao sa Internet."
Gayunpaman, mayroong ilang mga hiccups. Dalawang linggo pagkatapos ng Kaminsky unang napag-usapan ang problema, ang mga teknikal na detalye ng bug ay hindi sinasadyang na leaked sa Internet ng security company Matasano Security. Gayundin, ang ilang mga server ng DNS na may mataas na trapiko ay tumigil sa pagtatrabaho nang maayos pagkatapos ng unang patch, at ang ilang mga produkto ng firewall na ang pagsasalin ng address ng Internet Protocol ay hindi sinasadya na bawiin ang ilan sa mga pagbabago sa DNS na ginawa upang matugunan ang problemang ito. Ang presentasyon ng Black Hat, sinabi ni Kaminsky na sa kabila ng lahat ng mga problema, gusto pa rin niyang gawin ang parehong bagay. "Daan-daang milyong tao ang mas ligtas," sabi niya. "Ang mga bagay ay hindi naging perpekto, ngunit ito ay naging mas mahusay kaysa sa ako ay may anumang karapatan na asahan."
Ang isa pang kasanayan na lumalaki ang katanyagan ay ang paggamit ng mga video game bilang mga tool sa pagsasanay. Ang maraming kaligtasan ng publiko at mga organisasyong militar ay gumagamit ng mga video game upang gayahin ang mga kondisyon ng field. (Halimbawa, ang labanan ng Amerikanong Hukbo ng digmaan, na binuo ng US Army, ay naging isang napakalaking matagumpay na tool sa pagrerekord para sa militar.) Ngunit hindi mo kailangang i-shoot ang Nazis upang makahanap ng halaga para sa mga laro s
Sa Regence Blue Cross / Blue Shield sa Portland, Oregon, ang mga miyembro ng IT department ay nakakakuha ng virtual na "mga token" para sa pagganap ilang mga gawain: Ang pag-reset ng password ng gumagamit ay nagkakahalaga ng 2 mga token. Ang pagpapatupad ng isang cost-saving na ideya ay kumikita ng 30 token. Ang mga empleyado ay maaaring "gastusin" ang mga token na ito upang maglaro ng mga laro ng mabilis at batay sa pagkakataon. Ang mga laro ay higit na katulad sa mga slot machine: Ang mga toke
Computerworld ay hindi maaaring maging lugar upang gawin ang argument na ito, tulad ng maraming mga mambabasa, walang duda, enjoy playing may bagong software. Ngunit ang iba naman ay hindi. Nagsasalita ako tungkol sa karamihan ng mundo na ang mga trabaho ay hindi kaugnay sa IT. Ang mga taong ito ay maaaring gumamit ng mga computer, kahit na kailangan ang mga ito, ngunit tinitingnan nila ito bilang isang tool upang makuha ang kanilang trabaho. Wala nang iba pa. Bilang isang tagapayo, nakita ko it
Noong nakaraang linggo, sa paggawa ng kaso para sa cloud computing, kapwa Computerworld blogger na si Mark Everett Hall ay nagsalita rin para sa mga di-techies:
Mga outliner ng mga tab: pinakamahusay na paraan upang pamahalaan ang maraming mga tab sa chrome
Suriin ang Review na ito ng Mga Tab Outliner, Marahil ang Pinakamagandang Paraan ng Pamamahala ng Maramihang Mga Tab sa Chrome.