Kaminsky: Plusieurs façons d'attaquer avec DNS

. 6h des appels des autorités de certification finlandaises et aussi quelques mots durs de ses pairs dans la communauté de la sécurité, même une fuite accidentelle Black Hat présentation, mais après avoir géré la réponse à l'un des défauts Internet les plus médiatisés dans la mémoire récente, Dan Kaminsky a déclaré Mercredi, il allait tout recommencer.

Le travail à plein temps de Kaminsky au cours des derniers mois a été de travailler avec des éditeurs de logiciels et des sociétés Internet pour corriger une faille généralisée du DNS (système de noms de domaine) utilisé par les ordinateurs. se trouver sur Internet. Kaminsky a révélé le problème le 8 juillet, avertissant les utilisateurs d'entreprise et les fournisseurs de services Internet de patcher leur logiciel le plus rapidement possible.

Mercredi, il a dévoilé plus de détails sur cette question lors d'une session tableau vertigineux d'attaques qui pourraient exploiter le DNS. Kaminsky a également parlé du travail qu'il a fait pour réparer les services Internet critiques qui pourraient également être touchés par cette attaque.

[Plus d'informations: Les meilleures boîtes NAS pour le streaming et la sauvegarde multimédia]

En exploitant une série de bogues dans la façon dont le protocole DNS fonctionne, Kaminsky avait trouvé un moyen de remplir très rapidement les serveurs DNS avec des informations inexactes. Les criminels pourraient utiliser cette technique pour rediriger les victimes vers de faux sites Web, mais dans le discours de Kaminsky, il décrivait beaucoup plus d'attaques possibles.

Il décrivait comment la faille pouvait être utilisée pour compromettre les courriels, les logiciels ou même les mots de passe.

Et bien que beaucoup aient pensé que les connexions SSL (Secure Socket Layer) étaient imperméables à cette attaque, Kaminsky a également montré que même les certificats SSL utilisés pour confirmer la validité des sites Web pouvaient être contournés avec un Attaque DNS. Le problème, a-t-il dit, est que les entreprises qui émettent des certificats SSL utilisent des services Internet comme le courrier électronique et le Web pour valider leurs certificats. "Devinez comment c'est sûr face à une attaque DNS", a déclaré Kaminsky. "Pas très."

"Le SSL n'est pas la panacée que nous voudrions qu'il soit", at-il dit.

Un autre problème majeur a été ce que Kaminsky dit être l'attaque "oublié mon mot de passe". Cela affecte de nombreuses entreprises qui ont des systèmes de récupération de mot de passe basés sur le Web. Les criminels peuvent prétendre avoir oublié le mot de passe d'un utilisateur sur le site Web, puis utiliser les techniques de piratage DNS pour tromper le site en envoyant le mot de passe à leur propre ordinateur.

En plus des fournisseurs DNS, Kaminsky dit avoir travaillé avec des entreprises comme Google, Facebook, Yahoo et eBay pour résoudre les différents problèmes liés à la faille. "Je ne veux pas voir ma facture de téléphone cellulaire ce mois-ci", at-il dit.

Bien que certains participants à la conférence aient déclaré mercredi que le discours de Kaminsky avait été surclassé, le PDG d'OpenDNS, David Ulevitch, a déclaré que le chercheur IOActive communauté. "Toute la portée de l'attaque est encore à réaliser pleinement", at-il dit. "Cela affecte toutes les personnes sur Internet."

Il y a eu quelques accrocs, cependant. Deux semaines après que Kaminsky ait abordé le problème, les détails techniques du bogue ont été accidentellement transmis à Internet par la société de sécurité Matasano Security. En outre, certains serveurs DNS à fort trafic ont cessé de fonctionner correctement après l'application du correctif initial, et plusieurs produits pare-feu faisant la traduction d'adresses IP ont par inadvertance annulé certaines modifications apportées au DNS pour résoudre ce problème.

Présentation de Black Hat, Kaminsky a déclaré que malgré tous les tracas, il ferait encore la même chose. "Des centaines de millions de personnes sont plus en sécurité", a-t-il déclaré. "Les choses ne se sont pas parfaitement déroulées, mais cela s'est passé beaucoup mieux que ce à quoi je m'attendais."