Finding life we can't imagine | Christoph Adami
Η πλήρης απασχόληση του Kaminsky τους τελευταίους μήνες έχει συνεργαστεί με προμηθευτές λογισμικού και με εταιρείες του Διαδικτύου για να διορθώσουν ένα διαδεδομένο ελάττωμα στο σύστημα DNS (domain name system) που χρησιμοποιείται από υπολογιστές να βρεθούν στο Internet. Ο Kaminsky αποκάλυψε για πρώτη φορά το πρόβλημα στις 8 Ιουλίου, προειδοποιώντας τους εταιρικούς χρήστες και τους παρόχους υπηρεσιών Διαδικτύου να εφαρμόσουν το λογισμικό τους όσο το δυνατόν γρηγορότερα.
Την Τετάρτη αποκάλυψε περισσότερες λεπτομέρειες του θέματος κατά τη διάρκεια μιας συνωστισμένης συνόδου στο συνέδριο Black Hat. ζαλιστική σειρά επιθέσεων που θα μπορούσαν να εκμεταλλευτούν το DNS. Ο Kaminsky μίλησε επίσης για μερικές από τις εργασίες που έκαναν για να διορθώσουν τις κρίσιμες υπηρεσίες Internet που θα μπορούσαν επίσης να χτυπήσουν με αυτή την επίθεση.
Χρησιμοποιώντας μια σειρά από τα σφάλματα στον τρόπο με τον οποίο λειτουργεί το πρωτόκολλο DNS, ο Kaminsky είχε καταλάβει έναν τρόπο να γεμίσει γρήγορα τους διακομιστές DNS με ανακριβείς πληροφορίες. Οι εγκληματίες θα μπορούσαν να χρησιμοποιήσουν αυτήν την τεχνική για να ανακατευθύνουν τα θύματα σε ψεύτικες τοποθεσίες Web, αλλά στην ομιλία του Kaminsky περιέγραψε πολλούς πιθανούς τύπους επιθέσεων.
Περιγράφει πώς θα μπορούσε να χρησιμοποιηθεί το ελάττωμα για να συμβιβαστούν τα μηνύματα ηλεκτρονικού ταχυδρομείου, αν και πολλοί πίστευαν ότι οι συνδέσεις SSL (Secure Socket Layer) ήταν αδιαπέραστες από αυτήν την επίθεση, ο Kaminsky έδειξε επίσης πως ακόμη και τα πιστοποιητικά SSL που χρησιμοποιούνται για να επιβεβαιώσουν την εγκυρότητα των τοποθεσιών Web θα μπορούσαν να παρακάμπτονται με ένα Επίθεση DNS. Το πρόβλημα, δήλωσε, είναι ότι οι εταιρείες που εκδίδουν πιστοποιητικά SSL χρησιμοποιούν υπηρεσίες Διαδικτύου όπως το ηλεκτρονικό ταχυδρομείο και το Διαδίκτυο για την επικύρωση των πιστοποιητικών τους. "Μαντέψτε πόσο ασφαλές είναι αυτό που αντιμετωπίζετε μια επίθεση DNS", δήλωσε ο Καμίνσκι. "Δεν είναι πολύ.""Το SSL δεν είναι η πανάκεια που θα θέλαμε να είναι," είπε.
Ένα άλλο σημαντικό πρόβλημα είναι αυτό που λέει ο Kaminsky είναι η επίθεση "ξεχάσαμε τον κωδικό μου". Αυτό επηρεάζει πολλές εταιρείες που έχουν συστήματα αποκατάστασης κωδικού πρόσβασης που βασίζονται στο Web. Οι εγκληματίες θα μπορούσαν να ισχυρίζονται ότι έχουν ξεχάσει τον κωδικό πρόσβασης ενός χρήστη στην τοποθεσία Web και στη συνέχεια να χρησιμοποιήσουν τεχνικές hacking DNS για να εξαπατήσουν τον ιστότοπο για την αποστολή του κωδικού πρόσβασης στον δικό του υπολογιστή.
Εκτός από τους πωλητές DNS, ο Kaminsky είπε ότι συνεργάστηκε με εταιρείες όπως το Google, το Facebook, το Yahoo και το eBay για να διορθώσουν τα διάφορα προβλήματα που σχετίζονται με το ελάττωμα. «Αν και ορισμένοι συμμετέχοντες στο συνέδριο είπαν ότι η ομιλία του Kaminsky ήταν υπερβολική, ο Διευθύνων Σύμβουλος του OpenDNS, David Ulevitch, δήλωσε ότι ο IOActive ερευνητής έχει πραγματοποιήσει μια πολύτιμη υπηρεσία στο Διαδίκτυο κοινότητα. "Όλος ο σκοπός της επίθεσης δεν έχει ακόμη ολοκληρωθεί," είπε. "Αυτό επηρεάζει κάθε άτομο στο Διαδίκτυο."
Ωστόσο, υπήρξαν μερικοί λόξυγγοι. Δύο εβδομάδες μετά την πρώτη συζήτηση για το πρόβλημα, οι τεχνικές λεπτομέρειες του σφάλματος προκλήθηκαν από τυχαία διαρροή στο διαδίκτυο από την εταιρεία ασφαλείας Matasano Security. Επίσης, ορισμένοι διακομιστές DNS υψηλής επισκεψιμότητας έπαψαν να λειτουργούν σωστά μετά την εφαρμογή της αρχικής ενημερωμένης έκδοσης κώδικα και ορισμένα προϊόντα τείχους προστασίας που πραγματοποιούν μετάφραση διεύθυνσης πρωτοκόλλου Internet έχουν ακυρώσει κατά λάθος ορισμένες από τις αλλαγές DNS που έγιναν για την αντιμετώπιση αυτού του προβλήματος. Black Hat παρουσίαση, Kaminsky είπε ότι παρά όλες τις παρενοχλήσεις, θα έκανε ακόμα το ίδιο πράγμα ξανά. "Εκατοντάδες εκατομμύρια άνθρωποι είναι ασφαλέστεροι", είπε. "Τα πράγματα δεν πήγαν τέλεια, αλλά πήγαν τόσο πολύ καλύτερα από όσο είχα δικαίωμα να περιμένω."
Ο Kaminsky έκανε πρωτοσέλιδα την Τρίτη με μιλώντας για ένα σημαντικό κενό στο DNS (Domain Name System), το οποίο χρησιμοποιείται για τη σύνδεση υπολογιστών μεταξύ τους στο Διαδίκτυο. Στα τέλη Μαρτίου συγκάλεσε 16 εταιρείες που κάνουν το λογισμικό DNS - εταιρείες όπως η Microsoft, η Cisco και η Sun Microsystems - και τους μίλησε για την επίλυση του προβλήματος και την απελευθέρωση κοινών ενημερώσεων για αυτό.
Ωστόσο, κάποιοι από τους συνομηλίκους του Kaminsky δεν είχαν εντυπωσιαστεί. Αυτό οφείλεται στο γεγονός ότι παραβίασε έναν από τους βασικούς κανόνες αποκάλυψης: δημοσιοποιώντας ένα ελάττωμα χωρίς να παρέχει τις τεχνικές λεπτομέρειες για να επαληθεύσει το εύρημα του. Την Τετάρτη πήρε τα πράγματα ένα βήμα παραπάνω στο ιστολόγιό του, ζητώντας από τους χάκερ να αποφύγουν να ερευνήσουν το πρόβλημα μέχρι τον επόμενο μήνα, όταν σχεδιάζει να δημοσιεύσει περισσότερες πληροφορίες γι 'αυτό στο συνέδριο ασφά
Όταν ένας ερευνητής ασφαλείας έκανε προσωπικές πληροφορίες προφίλ περισσότερων από 170 εκατομμυρίων χρηστών του Facebook διαθέσιμες στο κοινό στο BitTorrent - ένας ιστότοπος κοινής χρήσης αρχείων - πολλοί αμφισβήτησαν γιατί δεν επιχείρησαν να πουλήσουν πληροφορίες αυτές σε ένα ενδιαφερόμενο μέρος. Τα ονόματα και τα δεδομένα προφίλ σε ότι πολλοί χρήστες του Facebook είναι ένα δυναμικό ορυχείο χρυσού με πολύτιμα δεδομένα μάρκετινγκ.
Προφανώς, μερικές μεγάλες εταιρείες συμφωνούν και πολλοί έχουν πηδήσει στο BitTorrent για να κατεβάσουν τα δεδομένα του Facebook. Σύμφωνα με μια ανάρτηση ιστολογίου από το Gizmodo, ένας αναγνώστης γνωστός ως Clint "ανακάλυψε ότι το μόνο που έπρεπε να κάνετε είναι να χρησιμοποιήσετε κάτι σαν το Peer Block, το οποίο αρπάζει τα IP των άλλων χρηστών που επίσης κατεβάζουν το torrent και προσδιορίζει ποια εταιρεία ή πανεπιστήμιο ή οργάνωση ανήκουν σε. "
Πολλοί τρόποι για να εγγράψετε το Xbox One Βιντεοπαιχνίδια με Ήχους
Αυτή η ανάρτηση εξηγεί πώς μπορείτε να καταγράψετε το Xbox One με το ήχο σας χρησιμοποιώντας απλά κόλπα & hacks, ή χρησιμοποιώντας εξειδικευμένο εξειδικευμένο υλικό. Επιλέξτε ανάλογα με τον προϋπολογισμό σας.