Dame la cosita aaaa
インターネット上でコンピュータ同士を接続するために使用されるDNS(ドメインネームシステム)の大きな欠陥について話しています。 3月末には、Microsoft、Cisco、Sun MicrosystemsなどのDNSソフトウェアを作る16社をグループ化し、問題の修正とパッチの共同公開について話し合った。
しかし、カミンスキーの同僚の一部は感動しなかった。これは、彼が開示の基本ルールの1つに違反したためです。彼の発見を検証するために技術的な詳細を提示することなく欠陥を公表します。水曜日に彼はブログで一歩一歩を踏み出し、ハッカーに次の月まで問題の調査を避けるように求め、Black Hatのセキュリティ会議でそれに関する情報をもっと公開する予定だ。
[さらに読む:メディアストリーミングとバックアップ]
]。しかし、カミンスキー氏は、
同氏は、企業のITスタッフとインターネットサービスプロバイダーにDNSソフトウェアをアップデートするよう圧力をかけると同時に、悪意のある人たちに問題の正確な性質を知らせてもらうために、この問題を一般に公開したいと述べた。同氏は、技術的な詳細を全面的に公開すると、インターネットが危険にさらされると、水曜日のインタビューで述べた。彼はすぐにマサザノ・セキュリティ研究者のThomas Ptacekから懐疑的な反応を受けた。彼はカミンスキーのキャッシュ・ポイズニング攻撃は、よく知られている同じ問題を明らかにする多くの開示のひとつに過ぎないとブログに書いていた[
]。インターネット上の他のコンピュータと通信するときに一意の「セッションID」文字列を作成するために乱数を作成するのに十分な仕事をしていないことをDNSで確認してください
"DNSのバグは16ビットセッションID "と述べた。 「セッションIDが128ビット未満の新しいWebアプリケーションを展開することはできません。90年代以降の根本的な問題についてはわかっています。
「ここでは、過大な別のバグのインタビューやメディアの爆発が襲いかかってきます
非常に尊敬されているセキュリティブログであるSANS Internet Storm Centerでは、カミンスキーのバグが3年前に実際に公開されたとのブロガーの1人が推測されています
セキュリティベンダーIOActiveとの侵入テストのディレクターを務めるKaminsky氏は、否定的な反応によって彼は「漠然と驚いている」と述べたが、この種の懐疑主義はハッカーコミュニティにとって不可欠であった。 「私は規則を破っている」と彼は認めた。 "攻撃を把握するのに十分な情報がありません。私はそれについて自慢しています。"
DNS専門家Paul Vixie氏によると、カミンスキー氏の発見に関する詳細な説明を受けた少数の人々の1人です。 SANSによって3年前に報告された問題とは異なる。インターネット上で最も広く使われているDNSサーバーソフトウェアのメーカーであるインターネットシステムコンソーシアムの社長であるヴィクシー氏は、カミンスキーの欠陥は同じ分野にあるが、「別の問題だ」と述べた。ジョージア工科大学のDNS研究者であるDavid Dagon氏はすぐにパッチを当てなければならないと述べた。ダン・カミンスキー氏はDNS攻撃で古い仕事を再パッケージ化したのかどうか疑問視されている。 「世界のDNSベンダーが一切の理由なくパッチを当てて発表したと考えるのは実現不可能だ」(
)カミンスキー氏は電話での調査の詳細を説明した後、このブログで撤回を発表した最も批判的な評論家、マタサノのプラタスクを回した。 Ptacekはその後、 "彼は財を持っている"と述べた。この攻撃は以前のDNS調査に基づいていますが、キャッシュポイズニング攻撃は非常に簡単に実行できます。 「カミンスキーの残りの批評家は、8月7日のブラック・ハットのプレゼンテーションが確実にわかるまで待たなければならないだろう」
セキュリティ研究者は、彼が彼の話のために現れることを望んでいると語った。 「もし私が悪用をしなければ、彼は言った。 「私は怒りと不信のすべてを受ける価値がある」