黑客是一群持怀疑态度的人,但这并不困扰丹·卡明斯基(Dan Kaminsky),他在声称发现了互联网基础设施中的一个严重漏洞后,遭到了安全研究领域同事们的猛烈抨击。
周二,卡明斯基因为谈论了一个DNS的主要缺陷,用于在互联网上连接计算机。3月下旬,他将16家制造DNS软件的公司组合在一起微软,思科并说服他们解决这个问题,并联合发布补丁。
请听丹·卡明斯基在我们的“每周新闻人物”播客中对这一缺陷的解释。
但卡明斯基的一些同行却不为所动。这是因为他违反了披露信息的基本规则之一:公开一个漏洞,却没有提供技术细节来验证他的发现。周三,他更进一步在他的博客上,要求黑客在下个月之前避免研究这个问题,他计划在黑帽安全会议上发布更多相关信息。
的缺陷这似乎是一个严重的问题,可以被利用在所谓的“缓存投毒攻击”中。这些攻击攻击DNS系统,利用它在受害者不知情的情况下将其重定向到恶意网站。它们已经为人所知多年,但可能很难实现。但卡明斯基声称,由于DNS协议本身的设计存在漏洞,他发现了一种非常有效的方式来发起这种攻击。
然而,卡明斯基周二没有透露他的发现的技术细节。
他表示,他希望公开这一问题,以向企业IT员工和互联网服务提供商施压,要求他们更新DNS软件,同时让坏人不知道问题的确切性质。他在周三的一次采访中说,完全公开技术细节将使互联网变得不安全。“现在,这些东西都不需要上市。”
他很快就收到了Matasano安全研究员Thomas Ptacek的怀疑反应博客Kaminsky的缓存投毒攻击仅仅是揭示了DNS的一个众所周知的问题——当与互联网上的其他计算机通信时,DNS在创建随机数来创建唯一的“会话ID”字符串方面做得不够好。
“DNS的缺陷在于它有一个16位会话ID,”他在周三的一封电子邮件中说。“你不能部署一个session id少于128位的新Web应用程序。我们从90年代就知道这个基本问题了。”
Matasano的博客上,一位疲惫不堪的(匿名的)发帖人写道:“丹·卡明斯基(Dan Kaminsky)又大肆宣传了一种病毒,采访和媒体的炮轰又来了。”
在SANS网络风暴中心,一个备受尊敬的安全博客,一个博主推测卡明斯基的窃听器实际上是在三年前被发现的。
Kaminsky是安全厂商IOActive的渗透测试主管,他说他对一些负面反应“有点惊讶”,但这种怀疑对黑客社区来说是至关重要的。“我违反了规定,”他承认。“在报告中没有足够的信息来弄清楚这次袭击,我只是在吹嘘。”
DNS专家Paul Vixie表示,这与三年前SANS报告的问题有所不同。尽管卡明斯基的缺陷是在同一个区域,但“这是一个不同的问题,”Vixie说,他是互联网系统联盟(Internet Systems Consortium)的主席,该联盟是互联网上使用最广泛的DNS服务器软件的制造商。
佐治亚理工学院(Georgia Tech)的DNS研究员戴维·达贡(David Dagon)也听取了有关漏洞的简报,他说,这个问题很紧急,应该立即修补。他在一次电子邮件采访中说:“由于缺乏细节,一些人质疑Dan Kaminsky是否在DNS攻击中重新包装了以前的工作。”“认为全世界的DNS供应商会毫无理由地一起打补丁并宣布消息,这是不可思议的。”
当天结束时,卡明斯基甚至转向了他最直言不讳的批评者,Matasano的Ptacek,后者在卡明斯基通过电话解释了他的研究细节后,在这个博客上发表了撤回声明。“他有货,”普塔切克后来说。虽然攻击建立在以前的DNS研究之上,但它使缓存中毒攻击非常容易实现。“他在某种程度上是我们没有预见到的。”
卡明斯基剩下的批评者将不得不等到他8月7日黑帽不过,我还是想知道。
这位安全研究员说,他希望他们能出席他的谈话。“如果我没有这个漏洞,”他说。“我应该得到所有的愤怒和不信任。”(比较补丁和漏洞管理产品)