Internet Bug Fix Spawns Backlash von Hackern

Hacker Englisch: bio-pro.de/en/region/stern/magazin/…2/index.html Das ist ein skeptischer Haufen, aber das macht Dan Kaminsky nichts aus, der von seinen Kollegen in der Sicherheitsforschung eine Menge Schadenersatz bekommen hat, nachdem er behauptet hatte, einen kritischen Fehler in der Infrastruktur des Internets entdeckt zu haben Über einen großen Fehler im DNS (Domain Name System) sprechen, der benutzt wird, um Computer miteinander im Internet zu verbinden. Ende März gruppierte er 16 Unternehmen, die DNS-Software herstellen - Unternehmen wie Microsoft, Cisco und Sun Microsystems - und überredete sie, das Problem zu lösen und gemeinsam Patches zu veröffentlichen.

Aber einige von Kaminskys Kollegen waren unbeeindruckt. Das liegt daran, dass er gegen eine der wichtigsten Regeln der Offenlegung verstoßen hat: einen Fehler bekannt zu machen, ohne die technischen Details zur Verfügung zu stellen, um sein Ergebnis zu verifizieren. Am Mittwoch ging er in seinem Blog noch einen Schritt weiter und forderte Hacker auf, das Problem erst nächsten Monat zu untersuchen, wenn er weitere Informationen auf der Black Hat Security Conference veröffentlichen will.

[Weiterführende Literatur: Beste NAS-Boxen für Medienstreaming und Backup]

Der Fehler scheint ein schwerwiegender Fehler zu sein, der durch einen so genannten Cache-Poisoning-Angriff ausgenutzt werden könnte. Diese Angriffe hacken das DNS-System und verwenden es, um Opfer ohne ihr Wissen auf bösartige Websites umzuleiten. Sie sind seit Jahren bekannt, können aber schwierig sein. Aber Kaminsky behauptet, dank einer Schwachstelle im Design des DNS-Protokolls selbst einen sehr effektiven Weg gefunden zu haben, einen solchen Angriff zu starten.

Am Dienstag jedoch hielt sich Kaminsky davon zurück, die technischen Einzelheiten seines Befundes zu offenbaren

Er sagte, er wolle mit dem Thema an die Öffentlichkeit gehen, um IT-Mitarbeiter und Internetdienstanbieter unter Druck zu setzen, ihre DNS-Software zu aktualisieren und gleichzeitig die bösen Jungs über die genaue Art des Problems im Unklaren zu lassen. Eine vollständige öffentliche Bekanntgabe der technischen Details würde das Internet unsicher machen, sagte er in einem Interview am Mittwoch. "Im Moment muss nichts davon öffentlich werden."

Er erhielt schnell eine skeptische Reaktion von Matasano Security-Forscher Thomas Ptacek, der schrieb, dass Kaminskys Cache-Vergiftungsattacke nur eine von vielen Enthüllungen sei, die das gleiche bekannte Problem unterstreichen mit DNS - dass es nicht ausreicht, Zufallszahlen zu erstellen, um eindeutige "Sitzungs-ID" -Strings zu erstellen, wenn mit anderen Computern im Internet kommuniziert wird.

"Der Fehler in DNS ist, dass es einen 16-Bit hat Sitzungs-ID ", sagte er am Mittwoch per E-Mail. "Sie können keine neue Web-App mit weniger als 128-Bit-Sitzungs-IDs bereitstellen. Wir kennen dieses grundlegende Problem seit den 90er Jahren."

"Hier kommt der Ansturm von Interviews und Medienexplosion für einen weiteren übertriebenen Fehler von Dan Kaminsky ", schrieb ein abgestumpftes (und anonymes) Plakat an den Matasano-Blog.

Drüben im SANS Internet Storm Center, einem hoch angesehenen Sicherheits-Blog, spekulierte ein Blogger, dass Kaminskys Wanze drei Jahre zuvor veröffentlicht worden war

Kaminsky, der Direktor für Penetrationstests beim Sicherheitsanbieter IOActive, sagte, er sei "vage überrascht" von einigen negativen Reaktionen, aber diese Art von Skepsis sei für die Hacker-Community von entscheidender Bedeutung. "Ich breche die Regeln", gab er zu. "Es gibt nicht genug Informationen in der Empfehlung, um den Angriff herauszufinden, und ich prahle damit."

Laut DNS-Experte Paul Vixie, einer der wenigen Menschen, die eine detaillierte Einweisung in Kaminskys Befund erhalten haben, ist es anders als vor drei Jahren von SANS. Während Kaminskys Fehler in demselben Bereich liegt, "ist es ein anderes Problem", sagte Vixie, der Präsident des Internet Systems Consortium, dem Hersteller der am weitesten verbreiteten DNS-Server-Software im Internet.

Das Problem ist dringend und sollte sofort repariert werden, sagte David Dagon, ein DNS-Forscher bei Georgia Tech, der auch über den Fehler informiert wurde. "Mit wenigen Details haben einige befragt, ob Dan Kaminsky ältere Arbeiten bei DNS-Angriffen neu verpackt hat", sagte er in einem E-Mail-Interview. "Es ist nicht durchführbar zu denken, dass die DNS-Anbieter der Welt ohne Grund geflickt und unisono angekündigt hätten."

Am Ende des Tages hatte Kaminsky sogar seinen lautesten Kritiker, Matasanos Ptacek, zum Redakteur gemacht, nachdem Kaminsky die Einzelheiten seiner Recherchen telefonisch erklärt hatte. »Er hat die Ware«, sagte Ptacek später. Während der Angriff auf früheren DNS-Untersuchungen aufbaut, sind Cache-Poisoning-Angriffe sehr leicht durchzuführen. "Er hat es so weit gebracht, dass es in einem Ausmaß gezeigt und geklickt hat, dass wir nicht sehen konnten."

Kaminskys verbleibende Kritiker werden bis zu seiner Black-Hat-Präsentation am 7. August warten müssen, um sicher zu sein.

Der Sicherheitsforscher sagte, er hoffe, dass sie für sein Gespräch auftauchen. "Wenn ich den Exploit nicht habe", sagte er. "Ich verdiene jedes einzelne Stück Wut und Misstrauen."