קמינסקי: דרכים רבות לתקוף עם DNS

עבודה מלאה של קמינסקי במהלך החודשים האחרונים עובדת עם ספקי תוכנה וחברות אינטרנט כדי לתקן פגם נרחב ב- DNS (שם תחום המערכת), המשמשים את המחשבים כדי למצוא אחד את השני באינטרנט. קמינסקי גילה לראשונה את הבעיה ב -8 ביולי, והזהיר את המשתמשים הארגוניים וספקי שירותי האינטרנט לתקן את התוכנות שלהם במהירות האפשרית.

ביום רביעי הוא גילה פרטים נוספים על הנושא במהלך דיון צפוף בכנס Black Hat, המתאר מערך מסחרר של התקפות שיכולות לנצל DNS. קמינסקי דיבר גם על כמה מהעבודות שהוא עשה כדי לתקן שירותי אינטרנט קריטיים שיכולים להיפגע גם מהתקפה זו. [

[קריאה נוספת: תיבות NAS הטוב ביותר עבור הזרמת מדיה גיבוי]

על ידי ניצול סדרה של באגים בדרך שבה פועל פרוטוקול ה- DNS, חישב קמינסקי דרך מהירה מאוד למלא שרתי DNS עם מידע לא מדויק. פושעים יכולים להשתמש בטכניקה זו כדי להפנות קורבנות לאתרי אינטרנט מזויפים, אבל בשיחתו של קמינסקי הוא תיאר סוגים רבים יותר של התקפות.

הוא תיאר כיצד ניתן להשתמש בפגם כדי להתפשר על הודעות דואר אלקטרוני, מערכות לעדכון תוכנה או אפילו סיסמה מערכות שחזור על אתרי אינטרנט פופולריים. אף על פי שרבים חשבו כי חיבורי SSL (Secure Socket Layer) היו אטומים להתקפה זו, קמינסקי גם הראה כיצד אפילו אישורי SSL המשמשים כדי לאשר את תקפותם של אתרי אינטרנט ניתן לעקוף עם התקפת DNS. הבעיה, הוא אמר, היא שהחברות המנפיקות תעודות SSL משתמשות בשירותי אינטרנט כמו דואר אלקטרוני והאינטרנט כדי לאמת את האישורים שלהם. "נחשו כמה זה בטוח מול התקפת DNS", אמר קמינסקי. "לא ממש." "אף אחד לא אומר את זה, "הוא אמר. "שליש הוא לא התרופה שאנחנו רוצים שתהיה," הוא אמר. עוד בעיה חמורה היא מה שקמינסקי אומר הוא "שכחתי את הסיסמה שלי". זה משפיע על חברות רבות שיש להן מערכות שחזור סיסמאות מבוססות אינטרנט. פושעים יכלו לטעון ששכחו את סיסמת המשתמש לאתר האינטרנט ולאחר מכן השתמשו בטכניקות פריצה של DNS כדי להערים על האתר כדי לשלוח את הסיסמה למחשב שלהם.

בנוסף לספקי ה- DNS, אמר קמינסקי שהוא עבד עם חברות כגון גוגל, פייסבוק, יאהו ו- eBay כדי לתקן את הבעיות השונות הקשורות לליקוי. "אני לא רוצה לראות את הטלפון הסלולרי שלי החודש", הוא אומר. למרות שמספר משתתפי הכנס אמרו אתמול כי דיבורו של קמינסקי היה מוגזם, אמר מנכ"ל חברת OpenDNS, דוד אולביץ ', כי חוקר IOActive ביצע שירות בעל ערך לאינטרנט הקהילה. "כל היקף ההתקפה עוד לא מומש במלואו", אמר. "זה משפיע על כל אדם באינטרנט". אבל היו כמה שיהוקים. שבועיים לאחר שקמינסקי דיבר לראשונה על הבעיה, הפרטים הטכניים של הבאג נדלפו בטעות לאינטרנט על ידי חברת האבטחה מטאסאנו סקיוריטי. כמו כן, כמה שרתי DNS בעלי תעבורה גבוהה הפסיקו לפעול כהלכה לאחר החלת התיקון הראשוני, ומוצרי חומת אש מסוימים שעושים תרגום כתובות פרוטוקול אינטרנט ביטלו בטעות חלק משינויי ה- DNS שבוצעו כדי לטפל בבעיה זו.

בראיון לאחר מצגת בלק האט, קמינסקי אמר שלמרות כל הטרחה, הוא עדיין עושה את אותו הדבר שוב. "מאות מיליוני אנשים בטוחים יותר", אמר. "הדברים לא נעשו בצורה מושלמת, אבל זה היה הרבה יותר טוב ממה שהיתה לי הזכות לצפות