Details zu Major Internet Flaw Gepostet von Accident

Ein Computer-Sicherheit Am Montag veröffentlichte das Unternehmen unbeabsichtigt Details eines größeren Fehlers im Domain Name System (DNS) des Internets, einige Wochen bevor sie veröffentlicht werden sollten.

Der Fehler wurde vor einigen Monaten von dem IOActive-Forscher Dan Kaminsky entdeckt, der die ersten Jahre gearbeitet hatte Teil dieses Jahres mit Internet-Software-Anbietern wie Microsoft, Cisco und dem Internet Systems Consortium, um das Problem zu beheben.

Die Unternehmen haben vor zwei Wochen eine Fehlerbehebung für den Bug veröffentlicht und Unternehmensanwender und Internetdienstanbieter aufgefordert, ihre DNS-Systeme zu patchen so bald wie möglich. Obwohl das Problem einige Heimanwender betreffen könnte, wird es laut Kaminsky nicht als ein großes Problem für die Verbraucher angesehen.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

Zu ​​der Zeit kündigte er an Englisch: www.germnews.de/archive/dn/1995/02/12.html In einem solchen Fall bat Kaminsky die Mitglieder der Sicherheitsforschungsgemeinschaft, die Spekulationen in der Öffentlichkeit wegen ihrer genauen Natur abzuhalten, um den Benutzern Zeit zu geben, ihre Systeme zu patchen. Kaminsky hatte geplant, Details des Fehlers während einer Präsentation auf der Sicherheitskonferenz Black Hat für den 6. August bekannt zu geben.

Einige Forscher nahmen die Anfrage als eine persönliche Herausforderung, den Fehler vor Kaminsky zu finden. Andere beschwerten sich, über die technischen Details seines Funds im Unklaren gelassen zu werden.

Am Montag hat der CEO von Zynamics.com, Thomas Dullien (der den Hacker-Namen Halvar Flake verwendet) [cq] den Fehler begutachtet und zugegeben, dass er wusste sehr wenig über DNS.

Seine Ergebnisse wurden schnell von Matasano Security bestätigt, einem Verkäufer, der über das Problem informiert worden war.

"Die Katze ist aus dem Sack. Ja, Halvar Flake hat den Fehler Dan Kaminsky herausgefunden Ich werde bei Black Hat ankündigen ", sagte Matasano in einem Blogeintrag, der innerhalb von fünf Minuten nach 13:30 Uhr entfernt wurde Östliche Veröffentlichung. Kopien des Posts zirkulierten bald im Internet, von denen eine vom IDG News Service angeschaut wurde.

Matasanos Beitrag bespricht die technischen Details des Bugs und sagt, dass ein Angreifer mit Hilfe einer schnellen Internetverbindung das, was er nennt, starten könnte eine DNS-Cache-Poisoning-Attacke gegen einen Domain Name Server und zum Beispiel das Umleiten von Traffic auf bösartige Websites innerhalb von 10 Sekunden.

Matasano Researcher Thomas Ptacek wollte nicht kommentieren, ob Flake den Fehler tatsächlich herausgefunden hat oder nicht, aber in einem Telefoninterview sagte er, der Gegenstand sei "versehentlich zu früh gepostet" worden. Ptacek war einer der wenigen Sicherheitsforscher, die eine detaillierte Einweisung in den Käfer erhalten hatten und zugestimmt hatten, sich nicht zu äußern, bevor Details veröffentlicht wurden.

Matasanos Post bestätigte versehentlich, dass Flake den Fehler richtig beschrieben hatte, gab Ptacek zu.

Am späten Montag entschuldigte sich Ptacek bei Kaminsky auf seinem Firmenblog. "Wir bedauern, dass es gelaufen ist", schrieb er. "Wir haben es aus dem Blog entfernt, sobald wir es gesehen haben. Leider dauert es nur wenige Sekunden, bis Internet-Publikationen verbreitet werden."

Kaminskys Angriff nutzt mehrere bekannte DNS-Bugs und kombiniert sie auf eine neuartige Weise, sagte Cricket Liu Vice President of Architecture beim DNS-Appliance-Anbieter Infoblox, nachdem er den Matasano-Beitrag gesehen hat.

Der Fehler hat damit zu tun, wie DNS-Clients und -Server Informationen von anderen DNS-Servern im Internet erhalten. Wenn die DNS-Software die numerische IP-Adresse (Internet Protocol) eines Computers nicht kennt, fragt sie einen anderen DNS-Server nach diesen Informationen. Mit Cache-Poisoning trickst der Angreifer die DNS-Software zu der Annahme, dass legitime Domänen wie idg.com bösartigen IP-Adressen zugeordnet sind.

Bei einem Angriff von Kaminsky schließt ein Cache-Poisoning-Versuch auch Daten ein, die als "zusätzlicher Ressourcendatensatz" bekannt sind. Durch Hinzufügen dieser Daten wird der Angriff viel mächtiger, sagen Sicherheitsexperten. "Die Kombination von ihnen ist ziemlich schlecht", sagte Liu.

Ein Angreifer könnte einen solchen Angriff gegen die Domain-Name-Server eines Internetdienstanbieters starten und diese dann auf bösartige Server umleiten. Durch das Vergiften des Domain-Namen-Datensatzes für www.citibank.com könnten die Angreifer beispielsweise die Benutzer des Internetdienstanbieters jedes Mal zu einem bösartigen Phishing-Server umleiten, wenn sie versuchten, die Banking-Website mit ihrem Webbrowser zu besuchen.

Kaminsky lehnte dies ab Flake hatte sein Problem entdeckt, aber in einem Posting auf seiner Website schrieb er am Montag "13> 0", anscheinend ein Kommentar, dass die 13-Tage-Administratoren seinen Fehler patchten mussten, bevor seine öffentliche Bekanntgabe besser ist als nichts.

Patch. Heute. Jetzt, ja, bleib zu spät ", schrieb er.

Er hat einen Test auf seiner Website veröffentlicht, auf dem jeder rennen kann, wenn die DNS-Software seines Netzwerks mit