Λεπτομέρειες σχετικά με το μειονέκτημα του μεγάλου Διαδικτύου

Το ελάττωμα ανακαλύφθηκε πριν από αρκετούς μήνες από τον ερευνητή του IOActive Dan Kaminsky, ο οποίος εργάστηκε μέσα από τις πρώτες ένα μέρος αυτού του έτους με προμηθευτές λογισμικού του Διαδικτύου όπως η Microsoft, η Cisco και η Consortium Systems Internet για να διορθώσουν το πρόβλημα.

Οι εταιρείες δημοσίευσαν μια λύση για το σφάλμα πριν από δύο εβδομάδες και ενθάρρυναν τους εταιρικούς χρήστες και τους παρόχους υπηρεσιών Διαδικτύου να επιδιορθώσουν τα συστήματά τους DNS όσο το δυνατόν συντομότερα. Παρόλο που το πρόβλημα μπορεί να επηρεάσει ορισμένους οικιακούς χρήστες, δεν θεωρείται σημαντικό ζήτημα για τους καταναλωτές, σύμφωνα με τον Kaminsky.

Την εποχή εκείνη ανακοίνωσε, ο Kaminsky ζήτησε από τα μέλη της ερευνητικής κοινότητας ασφαλείας να κρατήσουν τη δημόσια κερδοσκοπία για την ακριβή φύση τους, προκειμένου να δοθεί στους χρήστες χρόνος να επιδιορθώσουν τα συστήματά τους. Ο Kaminsky είχε προγραμματίσει να αποκαλύψει λεπτομέρειες για το ελάττωμα κατά τη διάρκεια μιας παρουσίασης στο συνέδριο ασφάλειας Black Hat που τέθηκε για την 6η Αυγούστου.

Μερικοί ερευνητές απάντησαν στο αίτημα ως προσωπική πρόκληση για να βρουν το ελάττωμα πριν την ομιλία του Kaminsky. Άλλοι διαμαρτυρήθηκαν για το γεγονός ότι κρατήθηκαν στο σκοτάδι για τις τεχνικές λεπτομέρειες της διαπίστωσής του.

Τη Δευτέρα, ο Διευθύνων Σύμβουλος της Zynamics.com Thomas Dullien (ο οποίος χρησιμοποιεί το όνομα χάκερ Halvar Flake) [cq] πήρε μια εικασία για το σφάλμα, παραδεχόμενο ότι γνωρίζει πολύ λίγα για το DNS

Τα ευρήματά του επιβεβαιώθηκαν γρήγορα από την Matasano Security, έναν πωλητή που είχε ενημερωθεί για το θέμα

«Η γάτα είναι έξω από την τσάντα Ναι, ο Halvar Flake βρήκε το ελάττωμα Dan Kaminsky θα ανακοινώσει στο Black Hat ", δήλωσε ο Matasano σε ένα blog posting που αφαιρέθηκε μέσα σε πέντε λεπτά από τις 1:30 μ.μ. Ανατολική δημοσίευση. Αντίγραφα της θέσης κυκλοφόρησαν σύντομα στο διαδίκτυο, ένα από τα οποία προβλήθηκε από την υπηρεσία ειδήσεων IDG.

Η θέση του Matasano συζητά τις τεχνικές λεπτομέρειες του σφάλματος, λέγοντας ότι, χρησιμοποιώντας μια γρήγορη σύνδεση στο Διαδίκτυο, ένας εισβολέας θα μπορούσε να ξεκινήσει αυτό που είναι γνωστό μια επίθεση δηλητηρίασης DNS cache σε έναν διακομιστή ονομάτων τομέα και επιτύχει, για παράδειγμα, στην ανακατεύθυνση της επισκεψιμότητας σε κακόβουλες τοποθεσίες Web μέσα σε περίπου 10 δευτερόλεπτα.

Ο ερευνητής του Matasano Thomas Ptacek αρνήθηκε να σχολιάσει εάν η Flake είχε πράγματι καταλάβει το ελάττωμα, αλλά σε τηλεφωνική συνέντευξη είπε ότι το στοιχείο έχει "αναρτηθεί κατά λάθος πολύ σύντομα". Ο Ptacek ήταν ένας από τους λίγους ερευνητές της ασφάλειας που είχαν ενημερωθεί λεπτομερώς για το σφάλμα και είχαν συμφωνήσει να μην το σχολιάσουν πριν δημοσιευθούν οι λεπτομέρειες.

Η θέση του Matasano επιβεβαίωσε ακούσια ότι η Flake είχε περιγράψει σωστά το λάθος, παραδέχτηκε ο Ptacek.

Στα τέλη της Δευτέρας, ο Ptacek ζήτησε συγγνώμη από τον Kaminsky στο blog της εταιρείας του. "Λυπούμαστε που έτρεξε", έγραψε. "Αφαιρέσαμε το από το blog αμέσως μόλις το είδαμε. Δυστυχώς, χρειάζονται μόνο δευτερόλεπτα για να εξαπλωθούν οι δημοσιεύσεις του Διαδικτύου."

Η επίθεση του Kaminsky εκμεταλλεύεται πολλά γνωστά σφάλματα DNS, συνδυάζοντάς τα με έναν καινοτόμο τρόπο, δήλωσε ο Cricket Liu αντιπρόεδρος αρχιτεκτονικής με τον πωλητή συσκευών DNS Infoblox, μετά την προβολή του post Matasano

Το σφάλμα σχετίζεται με τον τρόπο με τον οποίο οι πελάτες DNS και οι διακομιστές λαμβάνουν πληροφορίες από άλλους διακομιστές DNS στο Internet. Όταν το λογισμικό DNS δεν γνωρίζει την αριθμητική διεύθυνση IP (Internet Protocol) ενός υπολογιστή, ζητά από έναν άλλο διακομιστή DNS για αυτές τις πληροφορίες. Με την δηλητηρίαση της κρυφής μνήμης, ο εισβολέας κόβει το λογισμικό DNS να πιστέψει ότι οι νόμιμοι τομείς, όπως το idg.com, αντιστοιχούν σε κακόβουλες διευθύνσεις IP.

Στην επίθεση του Kaminsky, μια απόπειρα δηλητηρίασης από τη μνήμη cache περιλαμβάνει επίσης τα στοιχεία που ονομάζονται "Additional Resource Record". Με την προσθήκη αυτών των δεδομένων, η επίθεση γίνεται πολύ πιο ισχυρή, λένε οι ειδικοί της ασφάλειας. "Ο συνδυασμός τους είναι πολύ κακός", δήλωσε ο Liu.

Ένας επιτιθέμενος θα μπορούσε να ξεκινήσει μια τέτοια επίθεση εναντίον των διακομιστών ονομάτων τομέα παρόχων υπηρεσιών Διαδικτύου και στη συνέχεια να τους ανακατευθύνει σε κακόβουλους διακομιστές. Με την δηλητηρίαση του αρχείου ονόματος τομέα για το www.citibank.com, για παράδειγμα, οι επιτιθέμενοι θα μπορούσαν να επαναπροσανατολίσουν τους χρήστες του ISP σε έναν κακόβουλο εξυπηρετητή phishing κάθε φορά που προσπάθησαν να επισκεφτούν τον τραπεζικό ιστότοπο με το πρόγραμμα περιήγησης στο Web. Ο Flake είχε ανακαλύψει το θέμα του, αλλά σε μια απόσπαση στην ιστοσελίδα του τη Δευτέρα έγραψε "13> 0", προφανώς ένα σχόλιο που οι διαχειριστές των 13 ημερών έπρεπε να καλύψουν το ελάττωμά του προτού η δημοσιοποίησή του είναι καλύτερη από τίποτα. "Έχει δημοσιεύσει μια δοκιμή στον ιστότοπό του, ώστε ο καθένας να μπορεί να τρέξει για να βρει εάν το λογισμικό DNS του δικτύου του είναι επιδιορθωμένο