Internet Bug Fix Spawns Backlash From Hackers

adalah kumpulan yang ragu-ragu, tetapi itu tidak mengganggu Dan Kaminsky, yang mendapat banyak kepergian dari rakan-rakannya dalam komuniti penyelidikan keselamatan selepas mendakwa telah menemui satu kesalahan kritikal dalam infrastruktur Internet.

Kaminsky menjadi berita utama pada hari Selasa oleh bercakap mengenai kecacatan utama dalam DNS (Sistem Nama Domain), digunakan untuk menyambungkan komputer antara satu sama lain di Internet. Pada akhir Mac, beliau mengumpulkan 16 syarikat yang membuat perisian DNS - syarikat-syarikat seperti Microsoft, Cisco dan Sun Microsystems - dan membincangkannya dalam membetulkan masalah itu dan bersama-sama melepaskan patch untuknya.

Tetapi beberapa rekan Kaminsky tidak terkesan. Itu kerana dia melanggar salah satu peraturan pendedahan kadal: mempublikasikan kecacatan tanpa memberikan maklumat teknikal untuk mengesahkan penemuannya. Pada hari Rabu dia mengambil langkah lebih jauh di blognya, meminta penggodam untuk mengelakkan penyelidikan masalah itu sehingga bulan depan, ketika dia merencanakan untuk melepaskan lebih banyak informasi tentangnya di konferensi keamanan Black Hat.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk media streaming dan sandaran]

Kesilapan itu kelihatannya menjadi satu yang serius yang boleh dieksploitasi dalam apa yang disebut "serangan keracunan cache." Serangan ini menggodam sistem DNS, menggunakannya untuk mengalihkan mangsa kepada laman web berniat jahat tanpa pengetahuan mereka. Mereka telah diketahui selama bertahun-tahun tetapi sukar untuk ditarik. Tetapi Kaminsky mendakwa telah menemukan cara yang sangat berkesan untuk melancarkan serangan sedemikian, berkat kerentanan dalam reka bentuk protokol DNS itu sendiri.

Pada hari Selasa, Kaminsky telah menahan diri daripada mendedahkan butiran teknikal temuannya.

Beliau berkata beliau mahu memublikasikan isu ini untuk memberi tekanan kepada kakitangan IT korporat dan penyedia perkhidmatan Internet untuk mengemas kini perisian DNS mereka, sementara pada masa yang sama mengekalkan orang jahat dalam keadaan gelap tentang masalah yang tepat. Pendedahan awam sepenuhnya tentang butiran teknikal akan menjadikan Internet tidak selamat, katanya dalam satu temu bual Rabu. "Sekarang ini, tidak ada satu pun perkara yang perlu dipublikasikan."

Dia dengan cepat menerima reaksi ragu-ragu dari peneliti Matasano Security, Thomas Ptacek, yang membuat blog bahawa serangan keracunan cache Kaminsky hanyalah satu daripada banyak pendedahan yang menggariskan masalah yang sama dengan DNS - bahawa ia tidak melakukan tugas yang baik dalam mencipta nombor rawak untuk membuat rentetan "ID sesi" unik ketika berkomunikasi dengan komputer lain di Internet.

"Bug di DNS adalah bahawa ia mempunyai 16 bit ID sesi, "katanya melalui e-mel pada hari Rabu. "Anda tidak boleh menggunakan aplikasi Web baru dengan ID sesi kurang daripada 128-bit. Kami tahu mengenai masalah asas sejak 90-an."

"Berikut adalah serangan dari wawancara dan letupan media untuk satu lagi bug overhyped oleh Dan Kaminsky, "menulis sebuah poster yang terencat (dan tanpa nama) ke blog Matasano.

Lebih di SANS Internet Storm Center, sebuah blog keselamatan yang sangat dihormati, seorang blogger menduga bahawa bug Kaminsky sebenarnya telah didedahkan tiga tahun sebelumnya.

Kaminsky, yang merupakan pengarah ujian penembusan dengan penjual keselamatan IOActive, berkata bahawa dia "terkejut" dengan beberapa tindak balas negatif, tetapi ini keraguan semacam itu penting kepada komuniti penggodam. "Saya melanggar peraturan," katanya. "Tidak ada maklumat yang cukup dalam nasihat untuk memikirkan serangan itu dan saya membual tentangnya."

Menurut pakar DNS Paul Vixie, salah seorang dari beberapa orang yang telah diberikan taklimat terperinci tentang penemuan Kaminsky, berbeza daripada isu yang dilaporkan tiga tahun lalu oleh SANS. Walaupun kecacatan Kaminsky berada di kawasan yang sama, "masalah ini berbeza," kata Vixie, yang merupakan presiden Konsorsium Sistem Internet, pembuat perisian pelayan DNS yang paling banyak digunakan di Internet.

Isu ini sangat penting dan harus ditegaskan dengan serta-merta, kata David Dagon, penyelidik DNS di Georgia Tech yang juga diberi taklimat mengenai pepijat tersebut. "Dengan butiran yang jarang berlaku, beberapa telah mempersoalkan sama ada Dan Kaminsky telah mengemas semula kerja yang lebih lama dalam serangan DNS," katanya dalam temu bual e-mel. "Tidak mungkin untuk berfikir bahawa penjual DNS dunia akan ditambal dan diumumkan secara serentak tanpa alasan."

Menjelang hujung hari, Kaminsky telah pun mengkritik pengkritiknya yang paling bersemangat, Patsy Matasano, yang mengeluarkan penarikan balik pada blog ini selepas Kaminsky menerangkan butiran penyelidikannya melalui telefon. "Dia mempunyai barangan," kata Ptacek selepas itu. Walaupun serangan itu membina penyelidikan DNS sebelumnya, ia menjadikan serangan keracunan cache sangat mudah untuk ditarik. "Dia cukup mengambilnya untuk menunjuk dan mengklik pada tahap yang kita tidak nampak datang."

Pengkritik yang tersisa Kaminsky perlu menunggu hingga penyerahan Black Hat pada 7 Ogos untuk mengetahui pasti.

Penyelidik keselamatan itu berkata beliau berharap mereka muncul untuk bercakapnya. "Jika saya tidak mempunyai eksploitasi," katanya. "Saya layak menerima setiap kemarahan dan kesangsian."