Detaljert informasjon om stor Internettfeil Skrevet av ulykke

Selskapet på mandag utgav utilsiktet detaljer om en stor feil i Internett-domenenavnssystemet (DNS) flere uker før de skulle bli avslørt.

Feilen ble oppdaget for flere måneder siden av IOActive forsker Dan Kaminsky, som jobbet tidlig En del av dette året med Internett-programvareleverandører som Microsoft, Cisco og Internet Systems Consortium for å løse problemet.

Selskapene lanserte en løsning for feilen for to uker siden, og oppfordret bedriftsbrukere og Internett-tjenesteleverandører til å lappere sine DNS-systemer så snart som mulig. Selv om problemet kan påvirke noen hjemmebrukere, anses det ikke for å være et stort problem for forbrukerne, ifølge Kaminsky.

[Videre lesing: Best NAS-bokser for media streaming og backup]

På det tidspunkt annonserte han feil, spurte Kaminsky medlemmer av sikkerhetsforskningsfellesskapet om å holde seg unna offentlig spekulasjon om sin presise natur for å gi brukerne tid til å lappere sine systemer. Kaminsky hadde planlagt å avsløre detaljer om feilen under en presentasjon på Black Hat-sikkerhetskonferansen som ble satt til 6. august.

Noen forskere tok forespørselen som en personlig utfordring for å finne feilen før Kaminsky's snakk. Andre klagde på å bli holdt i mørket om de tekniske detaljene av hans oppdagelse.

På mandag tok Zynamics.com CEO Thomas Dullien (som bruker hackernavnet Halvar Flake) et gjetning på feilen, og innrømmet at han visste veldig lite om DNS.

Hans funn ble raskt bekreftet av Matasano Security, en leverandør som ble informert om problemet.

"Katten er ute av posen. Ja, Halvar Flake fant ut feilen Dan Kaminsky vil kunngjøre på Black Hat, "sa Matasano i en blogginnlegg som ble fjernet innen fem minutter fra klokken 13:30 Østlig publikasjon. Kopi av innlegget ble snart sirkulert på Internett, hvorav en ble vist av IDG News Service.

Matasano post beskriver de tekniske detaljene i feilen, og sier at ved å bruke en rask Internett-tilkobling, kan en angriper starte det som er kjent som et DNS-cache-forgiftningsangrep mot en domenenavn-server og lykkes for eksempel ved omdirigering av trafikk til ondsinnede nettsteder innen ca. 10 sekunder.

Matasano-forsker Thomas Ptacek nektet å kommentere om Flake faktisk hadde funnet ut feilen eller ikke, men i et telefonintervju sa han at varen var blitt "uheldigvis lagt opp for tidlig". Ptacek var en av de få sikkerhetsforskerne som hadde fått en detaljert orientering om feilen og hadde avtalt å ikke kommentere det før detaljene ble offentliggjort.

Matasano-posten utilsiktet bekreftet at Flake hadde beskrevet feilen riktig, innrømmet Ptacek.

Ptacek på slutten mandag unnskyldte seg til Kaminsky på sin firmablogg. "Vi beklager at det løp," skrev han. "Vi fjernet det fra bloggen så snart vi så det. Dessverre tar det bare sekunder for Internett-publikasjoner å spre."

Kaminsky angrep utnytter flere kjente DNS-feil, som kombinerer dem på en ny måte, sa Cricket Liu visepresident for arkitektur med DNS-apparatleverandør Infoblox, etter å ha sett Matasano-innlegget.

Feilen har å gjøre med måten DNS-klienter og servere får informasjon fra andre DNS-servere på Internett. Når DNS-programvaren ikke kjenner IP-adressen (Internet Protocol) til en datamaskin, spør den en annen DNS-server for denne informasjonen. Ved cacheforgiftning, traff angriperen DNS-programvaren til å tro at legitime domener, for eksempel idg.com, kartlegger ondsinnede IP-adresser.

I Kaminsky-angrep inkluderer et cache-forgiftningsforsøk også det som kalles "Additional Resource Record" -data. Ved å legge til disse dataene blir angrepet mye kraftigere, sier sikkerhetseksperter. "Kombinasjonen av dem er ganske dårlig," sa Liu.

En angriper kan starte et slikt angrep mot en Internett-leverandørens domenenavnsservere og deretter omdirigere dem til ondsinnede servere. Ved forgiftning av domenenavnet for www.citibank.com, kan angriperne for eksempel omdirigere Internett-leverandørens brukere til en ondsinnet phishing-server hver gang de prøvde å besøke banksiden med nettleseren.

Kaminsky nektet å bekrefte at Flake hadde oppdaget sitt problem, men i et innlegg til hans nettside mandag skrev han "13> 0," tilsynelatende en kommentar om at 13 dagers administratorer har måttet plukke sin feil før offentliggjøring er bedre enn ingenting.

" Patch. I dag. Nå. Ja, vær sent, "skrev han.

Han har lagt ut en test på sitt nettsted som alle kan kjøre for å finne ut om nettverksets DNS-programvare er patched