Kaminsky: molti modi per attaccare con DNS

C'erano Alle sei del mattino telefonano dalle autorità di certificazione finlandesi e anche alcune parole piuttosto dure dei suoi pari nella comunità di sicurezza, anche una presentazione di Black Hat trapelata casualmente, ma dopo aver gestito la risposta a uno dei difetti Internet più pubblicizzati nella memoria recente, Dan Kaminsky ha detto Mercoledì che avrebbe fatto tutto da capo.

Il lavoro a tempo pieno di Kaminsky negli ultimi mesi ha lavorato con fornitori di software e compagnie Internet per risolvere un difetto diffuso nel DNS (sistema dei nomi di dominio), usato dai computer trovarsi su Internet. Kaminsky ha rivelato per la prima volta il problema l'8 luglio, avvertendo gli utenti aziendali e i provider di servizi Internet di applicare le patch al loro software il più rapidamente possibile.

Mercoledì, ha rivelato maggiori dettagli del problema durante una sessione affollata alla conferenza di Black Hat, descrivendo un una serie vertiginosa di attacchi che potrebbero sfruttare il DNS. Kaminsky ha anche parlato del lavoro svolto per correggere i servizi Internet critici che potrebbero essere colpiti da questo attacco.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

Sfruttando una serie di bug nel modo in cui funziona il protocollo DNS, Kaminsky aveva capito un modo per riempire molto velocemente i server DNS con informazioni inaccurate. I criminali potrebbero usare questa tecnica per reindirizzare le vittime verso siti Web fasulli, ma nel discorso di Kaminsky descrisse molti altri possibili tipi di attacchi.

Descrisse in che modo l'errore poteva essere usato per compromettere messaggi di posta elettronica, sistemi di aggiornamento software o persino password sistemi di recupero su siti Web popolari.

E sebbene molti avessero pensato che le connessioni SSL (Secure Socket Layer) fossero impenetrabili a questo attacco, Kaminsky mostrò anche come i certificati SSL utilizzati per confermare la validità dei siti Web potevano essere elusi con un Attacco DNS Il problema, ha affermato, è che le società che emettono certificati SSL utilizzano servizi Internet come la posta elettronica e il Web per convalidare i loro certificati. "Indovina quanto è sicuro di fronte a un attacco DNS", ha detto Kaminsky. "Non molto."

"SSL non è la panacea che vorremmo fosse", ha detto.

Un altro problema importante è stato quello che Kaminsky dice è l'attacco "Ho dimenticato la mia password". Ciò riguarda molte aziende che dispongono di sistemi di recupero password basati sul Web. I criminali potrebbero affermare di aver dimenticato la password di un utente sul sito Web e quindi utilizzare tecniche di hacking DNS per ingannare il sito e inviare la password al proprio computer.

Oltre ai fornitori DNS, Kaminsky ha affermato di aver lavorato con le aziende come Google, Facebook, Yahoo e eBay per risolvere i vari problemi relativi al difetto. "Non voglio vedere la fattura del mio cellulare questo mese", ha detto.

Anche se alcuni partecipanti alla conferenza hanno detto mercoledì che il discorso di Kaminsky è stato sovrascritto, il CEO di OpenDNS David Ulevitch ha detto che il ricercatore IOActive ha eseguito un prezioso servizio su Internet Comunità. "L'intera portata dell'attacco deve ancora essere pienamente realizzata", ha affermato. "Questo riguarda ogni singola persona su Internet."

Tuttavia, ci sono stati alcuni singhiozzi. Due settimane dopo la discussione di Kaminsky, i dettagli tecnici del bug sono stati trapelati casualmente su Internet dalla società di sicurezza Matasano Security. Inoltre, alcuni server DNS ad alto traffico hanno smesso di funzionare correttamente dopo l'applicazione della patch iniziale e diversi prodotti firewall che eseguono la conversione degli indirizzi IP hanno inavvertitamente annullato alcune delle modifiche DNS apportate per risolvere questo problema.

In un'intervista dopo il suo La presentazione di Black Hat, Kaminsky, ha detto che nonostante tutte le seccature, farebbe ancora la stessa cosa. "Centinaia di milioni di persone sono più sicure", ha detto. "Le cose non sono andate perfettamente, ma è andata molto meglio di quanto avessi il diritto di aspettarmi."