Kaminsky: Mnogo načina napada DNS-om

Kaminsky je redovni posao tijekom posljednjih nekoliko mjeseci radio s dobavljačima softvera i internetskim tvrtkama da popravljaju široko rasprostranjen nedostatak DNS-a (sustav naziva domena), koji koriste računala pronaći jedno drugo na Internetu. Kaminsky je prvi put otkrio problem 8. srpnja, upozoravajući korporacijske korisnike i davatelje internetskih usluga da zakrpe svoj softver što je brže moguće.

U srijedu je objavio više detalja o toj temi tijekom pretrpanih sastanaka na konferenciji Black Hat, opisujući vrtoglav niz napada koji bi mogli iskoristiti DNS. Kaminsky je također razgovarao o nekom od posla koji je učinio kako bi popravio kritične internetske usluge koje bi mogle biti pogođene ovim napadom.

[Daljnje čitanje: Najbolji NAS kutije za streaming i backup medija]

Iskorištavajući niz greške u načinu na koji DNS protokol radi, Kaminsky je shvatio način da vrlo brzo popuniti DNS poslužitelje s netočnim informacijama. Kriminalci bi mogli koristiti ovu tehniku ​​kako bi preusmjerili žrtve na lažne web stranice, ali u Kaminskyjevu razgovoru opisao je još više mogućih vrsta napada.

On je opisao kako se taj nedostatak može koristiti za kompromitiranje poruka e-pošte, sustava ažuriranja softvera ili čak i lozinke sustavi za oporavak na popularnim web stranicama.

Iako su mnogi mislili da su veze SSL (Secure Socket Layer) nepromjenjive za ovaj napad, Kaminsky je također pokazao kako čak i SSL certifikati koji su koristili za potvrdu valjanosti web stranica mogu se zaobići DNS napad. Problem je, kaže, da tvrtke koje izdaju SSL certifikate koriste internetske usluge kao što su e-mail i web za potvrdu njihovih certifikata. "Pogodite koliko je sigurnost u lice DNS napada", rekao je Kaminsky. "Ne baš."

"SSL nije panaceja koju bismo željeli da jest", rekao je.

Još jedan veliki problem je ono što kaže Kaminsky napad "zaboravio lozinku". To utječe na mnoge tvrtke koje imaju web-bazirane sustave za oporavak zaporke. Kriminalci mogu tvrditi da su zaboravili lozinku korisnika na web stranicu, a zatim upotrijebiti tehnike hakiranja DNS-a kako bi prevario web mjesto na slanje lozinke na svoje računalo.

Uz DNS prodavače, Kaminsky je rekao da je radio s tvrtkama kao što su Google, Facebook, Yahoo i eBay kako bi popravili razne probleme koji se odnose na nedostatak. "Ne želim vidjeti svoj mobitel ovog mjeseca", rekao je.

Iako su neki sudionici konferencije izjavili u srijedu kako je razgovor o Kaminskyu prevelik, direktor tvrtke OpenDNS David Ulevitch rekao je da je IOActive istraživač izvodio vrijednu uslugu za Internet zajednica. "Cijeli opseg napada još je tek u potpunosti realiziran", kazao je. "To utječe na svaku osobu na internetu."

Ipak, bilo je nekih štucanja. Dva tjedna nakon što je Kaminsky prvi put razgovarao o tom problemu, sigurnosne tvrtke Matasano Security slučajno su propustile tehničke pojedinosti bugova. Isto tako, neki visoki prometni DNS poslužitelji prestali su ispravno raditi nakon što je primijenjena početna zakrpa, a nekoliko vatrozidnih proizvoda koji su preusmjerili adresu internetskog protokola nenamjerno poništavali neke od DNS promjena koje su napravljene kako bi se riješio taj problem.

U intervjuu nakon njegova Black Hat prezentaciju, Kaminsky je rekao da će, unatoč svim gnjavama, još uvijek učiniti istu stvar. "Stotine milijuna ljudi je sigurnije", rekao je. "Stvari nisu bile savršeno, ali mnogo je bolje nego što sam imala pravo očekivati."