Internet Dapat Patch, sebagai Bug DNS Tetap

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows]

Bug boleh dieksploitasi "seperti serangan phishing tanpa menghantar e-mel kepada anda, "kata Wolfgang Kandek, ketua pegawai teknikal dengan syarikat keselamatan Qualys.

Walaupun kecacatan ini mempengaruhi beberapa router rumah dan perisian DNS klien, ini adalah masalah utama bagi pengguna korporat dan ISP (penyedia perkhidmatan Internet) yang menjalankan pelayan DNS yang digunakan oleh PC untuk mencari jalan mereka di Internet, kata Kaminsky. "Pengguna rumah tidak boleh panik," katanya dalam panggilan persidangan Selasa.

Setelah menemui bug beberapa bulan yang lalu, Kaminsky segera membongkar sekelompok sekitar 16 pakar keselamatan yang bertanggungjawab terhadap produk DNS, yang bertemu di Microsoft pada 31 Mac untuk mengetepikan satu cara untuk membetulkan masalah. "Saya menghubungi orang lain dan berkata, 'Kami ada masalah,'" kata Kaminsky. "Satu-satunya cara yang boleh kami lakukan ialah jika kami mempunyai pelepasan serentak di semua platform."

Pembetulan pepijat besar-besaran itu terjadi pada hari Selasa apabila beberapa penyedia perisian DNS yang paling banyak digunakan mengeluarkan patch. Microsoft, Cisco, Red Hat, Sun Microsystems dan Konsortium Perisian Internet, pembuat perisian pelayan DNS yang paling banyak digunakan, telah memperbaharui perisian mereka untuk menangani bug tersebut.

BIND-sumber perisian Internet Consortium (Berkeley Internet Name Perisian Domain) berjalan pada sekitar 80 peratus daripada pelayan DNS Internet. Bagi kebanyakan pengguna BIND, pembaikan akan menjadi peningkatan yang mudah, tetapi untuk anggaran 15 peratus pengguna BIND yang belum berpindah ke versi terkini perisian, BIND 9, perkara mungkin sedikit lebih sukar.

Itu kerana versi lama BIND mempunyai beberapa ciri popular yang telah diubah apabila BIND 9 dibebaskan, menurut Joao Damas, pengurus program senior untuk Konsortium Perisian Internet.

Bug Kaminsky mempunyai kaitan dengan cara pelanggan DNS dan pelayan mendapatkan maklumat dari pelayan DNS lain di Internet. Apabila perisian DNS tidak mengetahui alamat IP (Internet Protocol) berangka komputer, ia meminta pelayan DNS lain untuk maklumat ini. Dengan keracunan cache, penyerang menipu perisian DNS untuk mempercayai bahawa domain sah, seperti Bofa.com, peta ke alamat IP yang berniat jahat.

Penyelidik keselamatan telah mengetahui tentang cara untuk melancarkan serangan keracunan cache terhadap pelayan DNS untuk beberapa waktu sekarang, tetapi biasanya serangan ini memerlukan penyerang menghantar banyak data ke pelayan DNS yang mereka cuba menjangkiti, yang menjadikan serangan lebih mudah untuk mengesan dan menyekat. Namun, Kaminsky menemui cara yang jauh lebih berkesan untuk melancarkan serangan yang berjaya.

Kerana kekurangan Kaminsky terletak pada rekaan DNS itu sendiri, tidak ada cara mudah untuk memperbaikinya, kata Damas. Sebaliknya, syarikat-syarikat seperti ISC telah menambah langkah keselamatan baru kepada perisian mereka yang menjadikannya lebih sukar untuk keracunan cache untuk berfungsi.

Walau bagaimanapun, dalam jangka masa panjang, cara yang paling berkesan untuk menangani keracunan cache adalah dengan mengamalkan lebih selamat versi DNS, yang dipanggil DNSSEC kata Danny McPherson, ketua pegawai penyelidik dengan Arbor Networks. Pembaikan Selasa pada dasarnya adalah "hack yang menjadikannya lebih sukar," katanya. "Tetapi ia tidak membetulkan masalah akar."

Kaminsky berkata beliau akan memberikan pentadbir rangkaian sebulan untuk memasang perisian mereka sebelum mendedahkan lebih banyak butiran teknikal mengenai kecacatan pada persidangan Black Hat bulan depan di Las Vegas. Dalam pada itu, dia telah menghantar kod di laman webnya yang membolehkan pengguna melihat apakah pelayan DNS korporat atau ISP mereka telah ditambal.