Kaminsky: Viele Möglichkeiten zum Angriff mit DNS

Es gab 6 Uhr morgens Anrufe von finnischen Zertifizierungsstellen und auch einige ziemlich harte Worte von seinen Kollegen in der Sicherheitsbranche, sogar eine versehentlich durchgesickerte Black Hat-Präsentation, aber nachdem die Antwort auf eine der am meisten publizierten Internet-Schwachstellen der jüngsten Erinnerung gemanagt wurde, sagte Dan Kaminsky Mittwoch, dass er es wieder tun würde.

Kaminskys Vollzeitjob in den letzten Monaten hat mit Softwareherstellern und Internetfirmen zusammengearbeitet, um einen weit verbreiteten Fehler im DNS (Domain Name System) zu beheben, der von Computern benutzt wird um sich im Internet zu finden. Kaminsky gab das Problem am 8. Juli bekannt und warnte Firmenanwender und Internet Service Provider, ihre Software so schnell wie möglich zu patchen.

Am Mittwoch gab er während einer überfüllten Sitzung auf der Black Hat Konferenz weitere Details zu dem Thema bekannt schwindelerregende Reihe von Angriffen, die DNS ausnutzen könnten. Kaminsky sprach auch über einige der Arbeiten, die er unternommen hatte, um kritische Internetdienste zu reparieren, die auch von diesem Angriff betroffen sein könnten.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

Durch Ausnutzung einer Reihe von Fehler in der Art, wie das DNS-Protokoll funktioniert, Kaminsky hatte einen Weg gefunden, DNS-Server mit ungenauen Informationen sehr schnell zu füllen. Kriminelle könnten diese Technik verwenden, um Opfer auf gefälschte Websites umzuleiten, aber in Kaminskys Rede beschrieb er viele weitere mögliche Arten von Angriffen.

Er beschrieb, wie der Fehler verwendet werden könnte, um E-Mail-Nachrichten, Softwareaktualisierungssysteme oder sogar ein Passwort zu kompromittieren Englisch: www.winhex.com/winhex/mailings/2006.html Obwohl viele der Meinung waren, dass SSL (Secure Socket Layer) - Verbindungen für diesen Angriff undurchdringlich seien, zeigte Kaminsky auch, wie selbst die SSL - Zertifikate zur Bestätigung der Gültigkeit von Websites mit einem DNS-Angriff Das Problem sei, dass die Unternehmen, die SSL-Zertifikate ausstellen, Internetdienste wie E-Mail und das Web nutzen, um ihre Zertifikate zu validieren. "Raten Sie, wie sicher das angesichts eines DNS-Angriffs ist", sagte Kaminsky. "Nicht sehr."

"SSL ist nicht das Allheilmittel, das wir uns wünschen", sagte er.

Ein weiteres großes Problem war das, was Kaminsky sagt: "Passwort vergessen". Dies betrifft viele Unternehmen mit webbasierten Passwort-Wiederherstellungssystemen. Kriminelle könnten behaupten, ein Benutzer-Passwort für die Website vergessen zu haben und DNS-Hacking-Techniken verwenden, um die Site dazu zu bringen, das Passwort an ihren eigenen Computer zu senden.

Zusätzlich zu den DNS-Anbietern sagte Kaminsky, er habe mit Unternehmen zusammengearbeitet wie Google, Facebook, Yahoo und eBay, um die verschiedenen Probleme im Zusammenhang mit dem Fehler zu beheben. "Ich möchte meine Handyrechnung diesen Monat nicht sehen", sagte er.

Obwohl einige Konferenzteilnehmer am Mittwoch sagten, dass Kaminskys Vortrag überhöht war, sagte CEO von OpenDNS, David Ulevitch, dass der IOActive-Forscher einen wertvollen Dienst für das Internet geleistet hat Gemeinschaft. "Der gesamte Umfang des Angriffs ist noch nicht vollständig verwirklicht", sagte er. "Dies betrifft jede einzelne Person im Internet."

Es gab jedoch einige Schluckauf. Zwei Wochen nachdem Kaminsky das Problem zum ersten Mal diskutiert hatte, wurden technische Details des Bugs versehentlich von der Sicherheitsfirma Matasano Security ins Internet durchgesickert. Außerdem funktionierten einige DNS-Server mit hohem Datenverkehr nach dem ersten Patch nicht mehr ordnungsgemäß, und mehrere Firewall-Produkte, die eine IP-Adressübersetzung durchführen, haben unbeabsichtigt einige DNS-Änderungen rückgängig gemacht, die zur Behebung dieses Problems vorgenommen wurden.

In einem Interview nach seinem In der Black-Hat-Präsentation sagte Kaminsky, dass er trotz aller Schwierigkeiten immer noch dasselbe tun würde. "Hunderte Millionen Menschen sind sicherer", sagte er. "Die Dinge liefen nicht perfekt, aber es ging so viel besser, als ich es erwarten durfte."