Dettagli dei principali difetti di Internet pubblicati dall'incidente

Sicurezza informatica Lunedì la compagnia ha pubblicato inavvertitamente dettagli di un grosso difetto nel Domain Name System (DNS) di Internet diverse settimane prima della loro divulgazione.

Il difetto è stato scoperto diversi mesi fa dal ricercatore di IOActive Dan Kaminsky, che ha lavorato all'inizio parte di quest'anno con fornitori di software Internet come Microsoft, Cisco e Internet Systems Consortium per risolvere il problema.

Le aziende hanno rilasciato una correzione per il bug due settimane fa e hanno incoraggiato gli utenti aziendali e i provider di servizi Internet a correggere i loro sistemi DNS il prima possibile. Anche se il problema potrebbe riguardare alcuni utenti domestici, non è considerato un grosso problema per i consumatori, secondo Kaminsky.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

All'epoca annunciava il difetto, Kaminsky ha chiesto ai membri della comunità di ricerca sulla sicurezza di tenere a bada le speculazioni pubbliche sulla sua natura precisa per dare agli utenti il ​​tempo di applicare le patch ai loro sistemi. Kaminsky aveva programmato di rivelare dettagli del difetto durante una presentazione alla conferenza sulla sicurezza di Black Hat del 6 agosto.

Alcuni ricercatori hanno preso la richiesta come una sfida personale per trovare il difetto prima del discorso di Kaminsky. Altri si sono lamentati di essere stati tenuti all'oscuro riguardo ai dettagli tecnici della sua scoperta.

Lunedì, il CEO di Zynamics.com Thomas Dullien (che usa il nome hacker Halvar Flake) [cq] ha indovinato il bug, ammettendo che sapeva poco del DNS.

Le sue scoperte furono rapidamente confermate da Matasano Security, un venditore che era stato informato sul problema.

"Il gatto è fuori dalla borsa. Sì, Halvar Flake capì il difetto Dan Kaminsky annuncerà a Black Hat ", ha detto Matasano in un post sul blog che è stato rimosso entro cinque minuti dalle 13:30 Pubblicazione orientale Le copie del post sono state presto diffuse su Internet, una delle quali è stata vista da IDG News Service.

Il post di Matasano discute i dettagli tecnici del bug, dicendo che usando una connessione Internet veloce, un utente malintenzionato potrebbe lanciare ciò che è noto come un attacco di avvelenamento della cache DNS contro un server Domain Name e riesce, ad esempio, a reindirizzare il traffico verso siti Web dannosi in circa 10 secondi.

Il ricercatore di Matasano Thomas Ptacek ha rifiutato di commentare se Flake avesse effettivamente scoperto il difetto, ma in un'intervista telefonica ha detto che l'oggetto era stato "postato troppo presto". Ptacek era uno dei pochi ricercatori di sicurezza a cui era stato dato un briefing dettagliato sul bug e aveva accettato di non commentarlo prima che i dettagli venissero resi pubblici.

Il post di Matasano ha inavvertitamente confermato che Flake aveva descritto correttamente la falla, ha ammesso Ptacek.

Lunedì scorso, Ptacek si è scusato con Kaminsky sul suo blog aziendale. "Siamo spiacenti di aver corso", ha scritto. "Lo abbiamo rimosso dal blog non appena l'abbiamo visto. Sfortunatamente, occorrono solo pochi secondi per diffondere le pubblicazioni su Internet."

L'attacco di Kaminsky sfrutta diversi bug DNS noti, combinandoli in un modo nuovo, ha detto Cricket Liu vicepresidente dell'architettura con il fornitore di appliance DNS Infoblox, dopo aver visualizzato il post di Matasano.

Il bug ha a che fare con il modo in cui client e server DNS ottengono informazioni da altri server DNS su Internet. Quando il software DNS non conosce l'indirizzo IP (Internet Protocol) numerico di un computer, richiede un altro server DNS per queste informazioni. Con l'avvelenamento della cache, l'hacker induce il software DNS a credere che domini legittimi, come idg.com, mappano a indirizzi IP dannosi.

Nell'attacco di Kaminsky un tentativo di avvelenamento da cache include anche i dati noti come "Record di risorse aggiuntive". Aggiungendo questi dati, l'attacco diventa molto più potente, dicono gli esperti di sicurezza. "La combinazione di questi è piuttosto brutta", ha detto Liu.

Un utente malintenzionato può lanciare un simile attacco contro i server dei nomi di dominio di un provider di servizi Internet e quindi reindirli su server dannosi. Avvelenando il record del nome di dominio per www.citibank.com, ad esempio, gli aggressori potevano reindirizzare gli utenti dell'ISP a un server di phishing malevolo ogni volta che tentavano di visitare il sito bancario con il loro browser Web.

Kaminsky ha rifiutato di confermare che Flake aveva scoperto il suo problema, ma in un post sul suo sito Web lunedì ha scritto "13> 0", a quanto pare un commento che gli amministratori di 13 giorni hanno dovuto aggiustare il suo difetto prima che la sua rivelazione pubblica sia meglio di niente.

" Patch. Oggi. Ora. Sì, resta in ritardo ", ha scritto.

Ha pubblicato un test sul suo sito Web che chiunque può eseguire per trovare il nostro se il software DNS della loro rete è patchato