There were 6 a.m. calls from Finnish certificate authorities and also some pretty harsh words from his peers in the security community, even an accidentally leaked Black Hat presentation, but after managing the response to one of the most highly publicized Internet flaws in recent memory, Dan Kaminsky said Wednesday that he'd do it all over again.
过去几个月的Kaminsky的全职工作一直在使用软件供应商和互联网公司来修复DNS(域名系统)中的广泛缺陷,计算机使用在Internet上找到彼此。Kaminsky First.披露了这个问题7月8日,警告企业用户和互联网服务提供商尽快修补他们的软件。
星期三,他在拥挤的会议期间披露了这个问题的更多细节黑帽会议,描述了可以利用DNS的令人耳目敬的攻击阵列。Kaminsky还谈到了他完成的一些工作,以解决可能会在此攻击中击中的关键互联网服务。
通过在DNS协议工作的方式中利用一系列错误,Kaminsky已经讨论了以非常快速填充具有不准确信息的DNS服务器的方法。犯罪分子可以利用这种技术将受害者重定向到假网站,但在Kaminsky的谈话中,他描述了更多可能类型的攻击。
他描述了如何使用缺陷在流行的网站上损害电子邮件消息,软件更新系统甚至密码恢复系统。
尽管很多人认为SSL(安全套接字层)连接不会受到这种攻击的影响,但Kaminsky也展示了用来确认网站有效性的SSL证书是如何被DNS攻击所绕过的。他说,问题在于,颁发SSL证书的公司使用电子邮件和Web等Internet服务来验证他们的证书。卡明斯基说:“猜猜这在面对DNS攻击时有多安全。”“不。”
“SSL不是我们希望的灵丹妙药,”他说。
另一个主要问题一直是Kaminsky所说的“忘记密码”攻击。这会影响许多具有基于Web的密码恢复系统的公司。犯罪分子可以声称将用户的密码忘记到网站,然后使用DNS HACKING技术欺骗该站点将密码发送到自己的计算机。
除了DNS供应商外,Kaminsky还表示,他与谷歌,Facebook,雅虎和eBay等公司合作,以解决与缺陷相关的各种问题。“本月我不想看到我的手机账单,”他说。
虽然一些会议与会者周三表示,Kaminsky的谈话被过度普及,但Opendns Ceo David Ulevitch表示,Ioactive研究人员对互联网社区进行了宝贵的服务。“甚至尚未完全实现攻击的整个范围,”他说。“这会影响互联网上的每个人。”
然而,有一些打嗝。在kaminsky首次讨论问题后两周,通过安全公司Matasano安全性意外地泄露到互联网的技术细节。此外,一些高流量的DNS服务器在应用初始补丁后,在应用初始修补程序后再运行,以及互联网协议地址转换的几个防火墙产品无意中撤消了对解决此问题的某些DNS更改。
在他的黑色帽子介绍后的面试中,Kaminsky说,尽管所有的麻烦,但他仍然再做同样的事情。“数亿人更安全”,“他说。“事情并没有完美,但它比我有权利更好。”