Netværk

Internet Bug Fix sætter backlash fra hackere

er en skeptisk flok, men det forstyrrer ikke Dan Kaminsky, der fik meget flack fra sine kolleger i sikkerhedsforskningsområdet efter at have påstået at have opdaget en kritisk fejl i internets infrastruktur. Kaminsky lavede overskrifter tirsdag af taler om en stor fejl i DNS (Domain Name System), der bruges til at forbinde computere til hinanden på internettet. I slutningen af ​​marts grupperede han sammen 16 virksomheder, der fremstiller DNS-software - virksomheder som Microsoft, Cisco og Sun Microsystems - og talte dem om at løse problemet og i fællesskab frigive patches til det.

Men nogle af Kaminsky's jævnaldrende var unimpressed. Det skyldes, at han overtrådte en af ​​de kardinale regler om offentliggørelse: offentliggør en fejl uden at give de tekniske detaljer for at bekræfte hans konklusion. På onsdag tog han tingene et skridt videre på sin blog og bad hackere om at undgå at undersøge problemet indtil næste måned, når han planlægger at frigive mere information om det på Black Hats sikkerhedskonference.

[Yderligere læsning: Bedste NAS-kasser til media streaming og backup]

Fejlen ser ud til at være en seriøs, der kan udnyttes i det, der kaldes et "cache poisoning attack". Disse angreb hacker DNS-systemet og bruger det til at omdirigere ofre til ondsindede websteder uden deres viden. De har været kendt i årevis, men det kan være svært at trække af. Men Kaminsky hævder at have fundet en meget effektiv måde at lancere et sådant angreb på, takket være en sårbarhed i udformningen af ​​DNS-protokollen selv.

På tirsdag holdt Kaminsky imidlertid tilbage fra at afsløre de tekniske detaljer om hans konklusion.

Han sagde, at han ønskede at gå offentligt med spørgsmålet for at lægge pres på virksomhedens it-personale og internetudbydere for at opdatere deres DNS-software, samtidig med at de onde gutter i mørket holdt op om problemets præcise karakter. En fuldstændig offentliggørelse af de tekniske detaljer ville gøre internettet usikre, sagde han i et interview onsdag. "I øjeblikket må ingen af ​​disse ting offentliggøres."

Han modtog hurtigt en skeptisk reaktion fra Matasano Securityforsker Thomas Ptacek, der blogger, at Kaminsky's cacheforgiftningsangreb blot er en af ​​mange afsløringer, der understreger det samme kendte problem med DNS - at det ikke gør et godt nok job til at skabe tilfældige tal for at skabe unikke "session ID" -strenge, når de kommunikerer med andre computere på internettet.

"Fejlen i DNS er, at den har en 16-bit session ID, "sagde han via en e-mail onsdag. "Du kan ikke implementere en ny webapp med mindre end 128-bit session-id'er. Vi har kendt om det grundlæggende problem siden 90'erne."

"Her kommer anfaldet af interviews og medieeksplosion for en anden overhypet fejl af Dan Kaminsky, "skrev en jaded (og anonym) plakat til Matasano-bloggen.

På SANS Internet Storm Center, en højt respekteret sikkerhedsblog, spekulerede en blogger, at Kaminsky's fejl faktisk var blevet afsløret tre år tidligere.

Kaminsky, som er direktør for penetrationstest med sikkerhedsleverandøren IOActive, sagde, at han var "vagt overrasket" af en negativ reaktion, men at denne slags skepsis var afgørende for hacker-samfundet. "Jeg bryder reglerne," indrømmede han. "Der er ikke nok information i rådgivningen til at finde ud af angrebet, og jeg snakker om det."

Ifølge DNS-ekspert Paul Vixie, et af de få personer, der har fået en detaljeret orientering om Kaminsky's opfattelse, er det forskellig fra det problem, der blev rapporteret for tre år siden af ​​SANS. Mens Kaminsky's fejl er i samme område, "er det et andet problem," sagde Vixie, som er formand for Internet Systems Consortium, maker af den mest udbredte DNS-server software på internettet.

Problemet er presserende og bør patches straks, sagde David Dagon, en DNS forsker ved Georgia Tech, som også blev orienteret om fejlen. "Med sparsomme detaljer har et par spørgsmålstegn ved, om Dan Kaminsky havde ompakket ældre arbejde i DNS-angreb," sagde han i et e-mail-interview. "Det er ikke muligt at tro, at verdens DNS-leverandører ville have patched og annonceret i fællesskab uden nogen grund."

Ved dagens afslutning havde Kaminsky selv vendt sin mest vokale kritiker, Matasano's Ptacek, der udstedte en tilbagetrækning på denne blog, efter at Kaminsky forklarede detaljerne i sin forskning over telefonen. "Han har varerne," sagde Ptacek bagefter. Mens angrebet bygger på tidligere DNS-undersøgelser, gør det cacheforgiftningsangreb meget nemt at trække af. "Han har stort set taget det til at pege og klikke i et omfang, som vi ikke kunne se."

Kaminsky's resterende kritikere bliver nødt til at vente, indtil hans 7. januar Black Hat-præsentation helt sikkert ved at vide.

Sikkerhedsforskeren sagde, at han håber at de kommer op for sin tale. "Hvis jeg ikke har udnyttelsen," sagde han. "Jeg fortjener hvert eneste stykke vrede og mistillid."