المكونات

Internet Bug Fix Spawns Backlash From Hackers

Super Mario Maker 2 Looks Flat-Out Ridiculous

Super Mario Maker 2 Looks Flat-Out Ridiculous
Anonim

الهاكرز هي مجموعة متشككة ، لكن هذا لا يزعج دان كامينسكي ، الذي حصل على الكثير من الحماسة من زملائه في مجتمع الأبحاث الأمنية بعد أن ادعى أنه اكتشف خطأ حرجًا في البنية التحتية للإنترنت.

تصدرت كامينسكي عناوين الأخبار يوم الثلاثاء الماضي نتحدث عن خلل كبير في DNS (نظام أسماء النطاقات) ، يستخدم لتوصيل أجهزة الكمبيوتر ببعضها البعض على الإنترنت. وفي أواخر شهر مارس (آذار) ، جمع 16 شركة تعمل في مجال برمجيات DNS - مثل مايكروسوفت وسيسكو وسان مايكروسيستمز - وتحدثت معهم عن حل المشكلة والإفراج عن بقع لها بشكل مشترك.

لكن بعض أقران كامينسكي لم يتأثروا. هذا لأنه انتهك إحدى قواعد الإفصاح الأساسية: نشر خطأ دون تقديم التفاصيل الفنية للتحقق من اكتشافه. يوم الأربعاء أخذ الأمور خطوة إضافية على مدونته ، وطلب من المتسللين تجنب البحث عن المشكلة حتى الشهر المقبل ، عندما يخطط لإصدار مزيد من المعلومات حول هذا الموضوع في مؤتمر أمان Black Hat. [اقرأ المزيد: أفضل صناديق NAS ل تدفق وسائل الإعلام والنسخ الاحتياطي]

يبدو أن الخلل خطير يمكن استغلاله في ما يسمى "هجوم التسمم بالذاكرة المؤقتة". تقوم هذه الهجمات باختراق نظام DNS ، واستخدامه لإعادة توجيه الضحايا إلى مواقع ويب خبيثة دون علمهم. كانت معروفة منذ سنوات ولكن يمكن أن يكون من الصعب الانسحاب. لكن Kaminsky يدعي أنه وجد طريقة فعالة جدًا لشن مثل هذا الهجوم ، وذلك بفضل وجود ضعف في تصميم بروتوكول DNS نفسه.

يوم الثلاثاء ، ومع ذلك ، امتنع Kaminsky عن الكشف عن التفاصيل الفنية لاستنتاجه.

قال إنه يريد أن يعلن علنًا عن هذه المشكلة للضغط على موظفي تكنولوجيا المعلومات في الشركات ومقدمي خدمات الإنترنت لتحديث برامج DNS الخاصة بهم ، وفي الوقت نفسه الحفاظ على الأشرار في الظلام حول الطبيعة الدقيقة للمشكلة. وقال في مقابلة يوم الاربعاء ان الكشف العلني الكامل عن التفاصيل الفنية سيجعل الانترنت غير آمن. "في الوقت الحالي ، لا يحتاج أي من هذه الأشياء إلى الكشف عنها علانية."

سرعان ما تلقى ردة فعل متشككة من باحث ماتاسانو للأمن توماس بتاسك ، الذي كتب أن هجوم كامنزكي على التسمم المخبأ هو مجرد واحدة من العديد من الإفصاحات التي تؤكد على نفس المشكلة المعروفة مع DNS - أنها لا تقوم بعمل جيد بما فيه الكفاية في إنشاء أرقام عشوائية لإنشاء سلاسل "معرف جلسة" فريدة عند الاتصال بأجهزة الكمبيوتر الأخرى على الإنترنت.

"الخطأ في DNS هو أنه يحتوي على 16 بت معرف الجلسة ، "عبر البريد الإلكتروني يوم الأربعاء. "لا يمكنك نشر تطبيق ويب جديد به معرفات جلسة أقل من 128 بت. لقد عرفنا عن هذه المشكلة الأساسية منذ التسعينيات."

"هنا يأتي الهجوم على المقابلات والانفجار الإعلامي لحدوث خطأ آخر بقلم دان كامينسكي ، "كتب ملصقاً (ومجهولاً) إلى مدونة ماتاسانو. أكثر من

في مركز SANS Internet Storm ، وهي مدونة أمنية تحظى باحترام كبير ، تكهن أحد المدونين بأن علة كامينسكي قد تم الكشف عنها في الواقع قبل ثلاث سنوات.

كامينسكي ، وهو مدير اختبار الاختراق مع بائع الأمن IOActive ، قال إنه "فوجئ بشكل مبهم" ببعض ردود الفعل السلبية ، لكن هذا النوع من التشكيك كان حيويا لمجتمع القراصنة. "أنا خرق القواعد" ، اعترف. "لا توجد معلومات كافية في الاستشارة لمعرفة الهجوم ، وأنا أتفاخر به."

وفقًا لخبير DNS ، بول فيكسي ، أحد الأشخاص القلائل الذين تم تقديم إحاطة تفصيلية حول اكتشاف كامينسكي ، مختلفة عن القضية التي تم الإبلاغ عنها منذ ثلاث سنوات بواسطة SANS. في حين أن عيب كامينسكي في نفس المنطقة ، "إنها مشكلة مختلفة" ، قال فيكسي ، وهو رئيس اتحاد أنظمة الإنترنت ، وهو صانع برنامج خادم DNS الأكثر استخدامًا على الإنترنت.

وقال ديفيد داجون ، وهو باحث DNS في شركة "جورجيا للتكنولوجيا" ، الذي تم إطلاعه أيضًا على الخطأ. وقال في مقابلة عبر البريد الإلكتروني: "مع تفاصيل قليلة ، تساءل عدد قليل عما إذا كان دان كامينسكي قد أعاد صياغة العمل القديم في هجمات DNS". "من غير المجدي الاعتقاد بأن موردي DNS في العالم قد قاموا بتصحيحه والإعلان عنه في انسجام دون سبب."

وبحلول نهاية اليوم ، قام كامينسكي بتحويل أكثر نقاد صوته ، ماتاسانو بتاسك ، الذي أصدر تراجعا في هذه المدونة بعد أن أوضح كامينسكي تفاصيل أبحاثه عبر الهاتف. وقال بتاسك بعد ذلك "لديه البضائع". في حين أن الهجوم يعتمد على أبحاث DNS السابقة ، فإنه يجعل من السهل جدًا تنفيذ هجمات تسمم مخبأة. "إنه إلى حد كبير أخذها للتعبير والنقر إلى الحد الذي لا نرى مجيئه."

يجب على منتقدي كامينسكي الباقين الانتظار حتى يتعرف العرض التقديمي لـ Black Hat في 7 أغسطس / آب على أية حال.

قال الباحث الأمني ​​إنه يأمل أن يظهروا في حديثه. وقال "اذا لم يكن لدي استغلال". "أنا أستحق كل قطعة من الغضب وعدم الثقة."