De fout in het hart van internet

Dan Kaminsky was, ongebruikelijk, eerder dit jaar niet op zoek naar bugs toen hij een fout ontdekte in de kern van internet. De beveiligingsonderzoeker gebruikte zijn kennis van internetinfrastructuur om een ​​betere manier te bedenken om video's naar gebruikers te streamen. Kaminsky's expertise ligt in het domeinnaamsysteem (DNS) van internet, het protocol dat verantwoordelijk is voor het matchen van de URL's van websites met de numerieke adressen van de servers die ze hosten. Dezelfde inhoud kan worden gehost door meerdere servers met verschillende adressen, en Kaminsky dacht dat hij een geweldige truc had om gebruikers naar de servers te leiden die het beste in staat waren om hun verzoeken op elk moment af te handelen.





Problemen zien: Beveiligingsonderzoeker Dan Kaminsky ontdekte afgelopen winter voor het eerst een basiskwetsbaarheid op internet.

Normaal gesproken is DNS betrouwbaar, maar niet wendbaar. Wanneer een computer, bijvoorbeeld een server die helpt om het verkeer over het Comcast-netwerk te leiden, het numerieke adres opvraagt ​​dat aan een bepaalde URL is gekoppeld, slaat deze het antwoord op gedurende een periode die bekend staat als de tijd om te leven, die kan variëren van seconden tot dagen. Dit helpt om het aantal verzoeken van de server te verminderen. Kaminsky's idee was om de time-to-live te omzeilen, zodat de server elke keer dat hij het adres van een site wilde weten een nieuw antwoord zou krijgen. Bijgevolg zou het verkeer op het netwerk van Comcast op elk moment naar het optimale adres worden gestuurd, in plaats van naar een adres dat al was opgeslagen. Kaminsky was er zeker van dat de strategie de distributie van inhoud aanzienlijk zou kunnen versnellen.

Pas later, nadat hij terloops met een vriend over het idee had gepraat, realiseerde Kaminsky zich dat zijn truc de beveiliging van het domeinnaamsysteem en dus van het internet zelf volledig kon doorbreken. De tijd om te leven, zo blijkt, was de kern van DNS-beveiliging; in staat zijn om het te omzeilen toegestaan ​​voor een breed scala aan aanvallen. Kaminsky schreef een kleine code om ervoor te zorgen dat de situatie zo erg was als hij dacht. Toen ik het eenmaal zag werken, zakte mijn maag in, zegt hij. Ik dacht: ‘Wat moet ik hier in godsnaam mee? Dit raakt alles.’



De techniek van Kaminsky kan worden gebruikt om websurfers naar elke webpagina te leiden die een aanvaller heeft gekozen. Het meest voor de hand liggende gebruik is om mensen naar phishing-sites (websites die zijn ontworpen om mensen te misleiden tot het invoeren van bankwachtwoorden en andere persoonlijke informatie, waardoor een aanvaller hun identiteit kan stelen) of andere valse versies van webpagina's te sturen. Maar het gevaar is nog groter: protocollen zoals die worden gebruikt om e-mail te bezorgen of voor veilige communicatie via internet zijn uiteindelijk afhankelijk van DNS. Een creatieve aanvaller zou de techniek van Kaminsky kunnen gebruiken om gevoelige e-mail te onderscheppen of om vervalste versies van de certificaten te maken die veilige transacties tussen gebruikers en bankwebsites garanderen. Elke dag vind ik een andere dominosteen, zegt Kaminsky. Een ander ding valt om als DNS slecht is. ... Ik bedoel, letterlijk, je kijkt om je heen en ziet alles dat een netwerk gebruikt - alles dat een netwerk gebruikt - en het gebruikt waarschijnlijk DNS.

multimedia

  • Bekijk een overzicht van een cache-vergiftigingsaanval.

Kaminsky belde Paul Vixie, voorzitter van het Internet Systems Consortium, een non-profitorganisatie die verschillende aspecten van internetinfrastructuur ondersteunt, inclusief de software die het meest wordt gebruikt in het domeinnaamsysteem. Meestal, als iemand een probleem wil melden, verwacht je dat het behoorlijk wat tijd zal kosten om het uit te leggen - misschien een whiteboard, misschien een Word-document of twee, zegt Vixie. In dit geval kostte het hem 20 seconden om het probleem uit te leggen, en nog eens 20 seconden voordat hij mijn bezwaren beantwoordde. Daarna zei ik: 'Dan, ik spreek met je via een onveilige mobiele telefoon. Zeg alsjeblieft nooit meer tegen iemand wat je net tegen me hebt gezegd via een onveilige mobiele telefoon.'

Misschien wel het meest angstaanjagende was dat omdat het beveiligingslek niet in een bepaalde hardware of software zat, maar in het ontwerp van het DNS-protocol zelf, het niet duidelijk was hoe het te repareren. In het geheim verzamelden Kaminsky en Vixie enkele van de beste DNS-experts ter wereld: mensen van de Amerikaanse overheid en hooggeplaatste ingenieurs van de grote fabrikanten van DNS-software en -hardware, waaronder Cisco en Microsoft. Ze regelden een bijeenkomst in maart op de campus van Microsoft in Redmond, WA. De afspraken waren zo geheimzinnig en gehaast, zegt Kaminsky, dat er mensen op jets naar Microsoft waren die niet eens wisten wat de bug was.



Eenmaal in Redmond probeerde de groep de omvang van de fout te bepalen en een mogelijke oplossing te vinden. Ze kwamen tot een noodoplossing die de meeste problemen oploste, relatief eenvoudig te implementeren zou zijn en de exacte aard van de fout zou maskeren. Omdat aanvallers vaak gaten in de beveiliging identificeren door middel van reverse-engineering van patches die bedoeld zijn om ze te repareren, besloot de groep dat al haar leden de patch tegelijkertijd moesten vrijgeven (de releasedatum zou 8 juli blijken te zijn). Kaminsky vroeg ook beveiligingsonderzoekers om gedurende 30 dagen na de release van de patch niet publiekelijk te speculeren over de details van de fout, in een poging bedrijven voldoende tijd te geven om hun servers te beveiligen.

Op 6 augustus, tijdens de Black Hat-conferentie, de jaarlijkse bijeenkomst van 's werelds internetbeveiligingsexperts, zou Kaminsky publiekelijk onthullen wat de fout was en hoe deze kon worden uitgebuit.

Vragen om problemen
Kaminsky heeft nog niet echt een nieuwe aanval ontdekt. In plaats daarvan heeft hij een ingenieuze manier gevonden om een ​​heel oude leven in te blazen. De basisfout waarop zijn aanval gericht is, dateert inderdaad van vóór het internet zelf.



De basis van DNS werd in 1983 gelegd door Paul Mockapetris, destijds aan de Universiteit van Zuid-Californië, in de tijd van ARPAnet, het onderzoeksproject van het Amerikaanse ministerie van Defensie dat computers aan een klein aantal universiteiten en onderzoeksinstellingen met elkaar verbond en uiteindelijk leidde tot het internet. . Het systeem is ontworpen om te werken als de 411-service van een telefoonmaatschappij: bij een naam zoekt het de nummers op die naar de drager van die naam leiden. DNS werd noodzakelijk omdat ARPAnet verder groeide dan het vermogen van een persoon om de numerieke adressen in het netwerk bij te houden. Mockapetris, die nu voorzitter en hoofdwetenschapper is van Nominum, een leverancier van infrastructuursoftware in Redwood, CA, ontwierp DNS als een hiërarchie. Wanneer iemand de URL voor een webpagina in een browser typt of op een hyperlink klikt, gaat een verzoek naar een naamserver die wordt beheerd door de internetserviceprovider (ISP) van de gebruiker. De server van de ISP slaat de numerieke adressen op van URL's die hij vaak verwerkt, in ieder geval totdat hun tijd om te leven verloopt. Maar als het geen adres kan vinden, ondervraagt ​​het een van de 13 DNS-rootservers, die het verzoek doorstuurt naar een naamserver die verantwoordelijk is voor een van de topniveaudomeinen, zoals .com of .edu. Die server stuurt het verzoek door naar een server die specifiek is voor een enkele domeinnaam, zoals google.com of mit.edu. Het doorsturen gaat door via servers met steeds meer specifieke verantwoordelijkheden - mail.google.com of libraries.mit.edu - totdat het verzoek een server bereikt die ofwel het gevraagde numerieke adres kan geven of kan antwoorden dat een dergelijk adres niet bestaat. Naarmate het internet volwassener werd, werd het duidelijk dat DNS niet veilig genoeg was. Het proces van het doorgeven van een verzoek van de ene server naar de volgende geeft aanvallers veel mogelijkheden om in te grijpen met valse antwoorden, en het systeem had geen beveiligingen om ervoor te zorgen dat de naamserver die een verzoek beantwoordde, betrouwbaar was. Al in 1989, zegt Mockapetris, waren er gevallen van cache-vergiftiging, waarbij een naamserver werd misleid om valse informatie op te slaan over het numerieke adres dat aan een website is gekoppeld.
In de jaren negentig was het werk van de gifmenger relatief eenvoudig. De naamservers op een lager niveau worden over het algemeen beheerd door particuliere entiteiten: Amazon beheert bijvoorbeeld de adressen die worden geleverd door de naamserver van amazon.com. Als een low-level nameserver het gevraagde adres niet kan vinden, zal het de aanvrager doorverwijzen naar een andere nameserver of de aanvrager vertellen dat de pagina niet bestaat. Maar in de jaren '90 kon de server op laag niveau de aanvrager ook het adres van de server op het hoogste niveau verstrekken. Om een ​​cache te vergiftigen, moest een aanvaller die informatie gewoon vervalsen. Als een aanvaller bijvoorbeeld de naamserver van een ISP misleidt om het verkeerde adres voor de .com-server op te slaan, kan hij het meeste verkeer kapen dat over het netwerk van de ISP gaat. Mockapetris zegt dat verschillende functies vervolgens aan DNS zijn toegevoegd om het systeem te beschermen. Verzoekservers accepteren geen hogere numerieke adressen van lagere naamservers. Maar aanvallers hebben een manier gevonden om die beperking te omzeilen. Net als voorheen verwijzen ze een aanvrager terug naar bijvoorbeeld de .com-server. Maar nu moest de aanvrager zelf het adres van de .com-server opzoeken. Het zou het adres opvragen en de aanvaller zou snel reageren met een vervalst antwoord voordat het echte antwoord arriveerde. Ook tegen deze strategie werden ad hoc beveiligingsmaatregelen toegevoegd. Nu heeft elk verzoek aan een DNS-server een willekeurig gegenereerde transactie-ID, een van de 65.000 mogelijke nummers, die ook in het antwoord moeten staan. Een aanvaller die een legitiem antwoord probeert te verslaan, moet ook de juiste transactie-ID raden. Helaas kan een computer zo snel zoveel valse antwoorden genereren dat als hij genoeg kansen heeft, hij zeker de juiste ID zal vinden. Dus de tijd om te leven, oorspronkelijk bedoeld om te voorkomen dat nameservers overbelast raken door te veel verzoeken, werd nog een andere noodoplossing voor beveiliging. Omdat de verzoekende server een antwoord enige tijd opslaat, krijgt de aanvaller slechts een paar kansen om een ​​vervalsing te proberen. Meestal, wanneer de server een .com-adres nodig heeft, raadpleegt hij zijn cache in plaats van te controleren bij de .com-server. Kaminsky vond een manier om deze ad-hocbeveiligingsfuncties te omzeilen - het belangrijkste, de tijd om te leven. Dat maakte het systeem net zo kwetsbaar als toen cache-vergiftiging voor het eerst werd ontdekt. Met behulp van Kaminsky's techniek krijgt een aanvaller een bijna oneindig aantal kansen om een ​​vervalsing te leveren. Stel dat een aanvaller alle e-mail wil kapen die een sociale netwerksite zoals Facebook of MySpace naar Gmail-accounts stuurt. Hij meldt zich aan voor een account bij het sociale netwerk en wanneer hij om een ​​e-mailadres wordt gevraagd, geeft hij er een die verwijst naar een domein dat hij beheert. Hij begint in te loggen op het sociale netwerk, maar beweert zijn wachtwoord te zijn vergeten. Wanneer het systeem een ​​nieuw wachtwoord probeert te verzenden, voert het een DNS-lookup uit die naar het domein van de aanvaller leidt. Maar de server van de aanvaller beweert dat het gevraagde adres ongeldig is. Op dit punt kan de aanvaller de aanvrager doorverwijzen naar de naamservers van google.com en racen om een ​​vervalst antwoord te geven. Maar dan zou hij maar één kans krijgen om de transactie-ID te kraken. Dus in plaats daarvan verwijst hij de aanvrager naar de niet-bestaande domeinen 1.google.com, dan 2.google.com, dan 3.google.com, enzovoort, waarbij hij voor elk een stortvloed aan nepreacties stuurt. Elke keer raadpleegt de aanvragende server de naamservers van Google in plaats van de cache, omdat deze geen opgeslagen adressen heeft voor een van de valse URL's. De aanval omzeilt volledig de limieten die zijn ingesteld door de tijd om te leven. Een van de vervalsingen van de aanvaller zal er zeker doorkomen. Dan is het eenvoudig om alles wat de verzoekende server voor Google bedoelt naar de eigen servers van de aanvaller te leiden, aangezien de aanvaller autoriteit lijkt te hebben voor URL's die eindigen op google.com. Kaminsky zegt dat hij in slechts 10 seconden testaanvallen kon uitvoeren.

Een cache-vergiftigingsaanval
Cachevergiftiging zorgt ervoor dat een verzoekende server valse informatie opslaat over het numerieke adres dat aan een website is gekoppeld. Een basisversie van de aanval – zonder enkele van de meer geavanceerde technieken die Kaminsky gebruikt – wordt hieronder beschreven. 1. Om te beginnen lokt de aanvaller de server van het slachtoffer om contact op te nemen met een domein dat de aanvaller beheert. De aanvaller zou bijvoorbeeld kunnen beweren een wachtwoord te zijn vergeten, waarna het slachtoffer per e-mail moet reageren.
2. Het slachtoffer voert een DNS-lookup uit om erachter te komen waar de e-mail naartoe moet worden gestuurd. Maar de nameserver van de aanvaller verwijst het slachtoffer naar een andere server, zoals die van example.com. Omdat de aanvaller weet dat het slachtoffer nu een DNS-zoekopdracht voor die server zal starten, heeft hij of zij de mogelijkheid om te proberen de cache te vergiftigen. 3. De aanvaller probeert een valse reactie te geven voordat de legitieme server de echte kan geven. Als de aanvaller het juiste ID-nummer raadt, accepteert het slachtoffer het gokantwoord, waardoor de cache wordt vergiftigd.
In het donker
Op 8 juli hield Kaminsky de beloofde persconferentie, kondigde de release van de patch aan en vroeg andere onderzoekers om niet te speculeren over de fout. De hardware- en softwareleveranciers hadden genoegen genomen met een patch die een aanvaller dwingt een langere transactie-ID te raden. Kaminsky zegt dat de aanvaller vóór de patch tienduizenden pogingen moest doen om een ​​cache met succes te vergiftigen. Na de patch zou het miljarden moeten verdienen. Het nieuws over de fout verscheen in de New York Times, op de BBC-website en in bijna elke technische publicatie. Systeembeheerders spanden zich in om de patch in hun systemen te laten werken voordat ze konden worden aangevallen. Maar omdat Kaminsky geen details over de fout gaf, waren sommige leden van de beveiligingsgemeenschap sceptisch. Thomas Ptacek, een onderzoeker bij Matasano Security, plaatste op Twitter: Ik zeg het eerst hier: betwijfel of er echt iets aan deze DNS-beveiligingsaankondiging zit. Dino Dai Zovi, een beveiligingsonderzoeker die vooral bekend staat om het vinden van manieren om malware te leveren aan een volledig gepatchte Macbook Pro, zegt dat ik absoluut sceptisch was over de aard van de kwetsbaarheid, vooral vanwege de hoeveelheid hype en aandacht versus de lage hoeveelheid details . Telkens als ik zoiets zie, zet ik meteen mijn sceptische hoed op, omdat het veel meer lijkt op iemand met een gevestigd belang dan op iemand die iets probeert te repareren. Dai Zovi en anderen merkten op dat de timing perfect was om Kaminsky's Black Hat-uiterlijk te promoten, en ze schoten op het verzoek om af te zien van speculatie. Het gebrek aan informatie was bijzonder controversieel omdat systeembeheerders vaak verantwoordelijk zijn voor het evalueren van patches en het beslissen of ze deze moeten toepassen, waarbij ze het gevaar van de beveiligingsfout afwegen tegen de verstoring die de patch zal veroorzaken. Omdat DNS centraal staat in de werking van elke internetafhankelijke organisatie, is het wijzigen ervan niet iets dat lichtvaardig wordt gedaan. Tot overmaat van ramp werkte deze patch niet goed met bepaalde typen bedrijfsfirewalls. Veel IT-professionals uitten hun frustratie over het gebrek aan details en zeiden dat ze de patch niet goed konden evalueren terwijl er zoveel verborgen bleef. Bezorgd door de scepsis over zijn beweringen, hield Kaminsky een telefonische vergadering met Ptacek en Dai Zovi, in de hoop hen te laten zien hoe gevaarlijk de bug was. Beiden kwamen uit het gesprek geconverteerd. Maar hoewel Dai Zovi opmerkt dat er veel is veranderd sinds de tijd dat hardware- en softwarefabrikanten met gebreken omgingen door simpelweg te ontkennen dat beveiligingsonderzoekers echte problemen hadden ontdekt, zegt hij ook: We weten niet wat we moeten doen als de kwetsbaarheden echt groot zijn. systemen zoals DNS. Onderzoekers staan ​​voor een dilemma, zegt hij: ze moeten fouten verklaren om anderen te overtuigen van de ernst ervan, maar een kwetsbaarheid zoals die Kaminsky vond is zo ernstig dat het onthullen van de details het publiek in gevaar kan brengen. Halvar Flake, een Duitse veiligheidsonderzoeker, was een waarnemer die dacht dat zwijgen het schadelijkste alternatief was. Publieke speculatie is precies wat nodig is, zegt hij, om mensen te helpen begrijpen wat hen zou kunnen overkomen. Flake las een paar basismaterialen, waaronder het Duitse Wikipedia-artikel over DNS, en schreef een blogbericht over wat hij dacht dat Kaminsky had gevonden. Hij verklaarde dat zijn gok waarschijnlijk verkeerd was en nodigde andere onderzoekers uit om hem te corrigeren. Op de een of andere manier verscheen er, te midden van de commotie die zijn post in de beveiligingsgemeenschap veroorzaakte, een gedetailleerde uitleg van de fout op een site die werd gehost door de werkgever van Ptacek, Matasano Security. De uitleg werd snel verwijderd, maar niet voordat deze zich over het internet had verspreid. Er ontstond chaos. Kaminsky gepost op Twitter, DNS-bug is openbaar. U moet NU patchen of overschakelen naar [Web-based] OpenDNS. Binnen enkele dagen bracht Metasploit, een computerbeveiligingsproject dat voorbeeldaanvallen ontwerpt om te helpen bij het testen, twee modules uit die misbruik maakten van de fout van Kaminsky. Kort daarna werd een van de eerste aanvallen op basis van de DNS-fout in het wild gezien. Het nam een ​​aantal servers van AT&T over om een ​​valse Google-startpagina te presenteren, geladen met de eigen advertenties van de aanvaller. Geen cookies meer
Dertig minuten voordat Kaminsky het podium van Black Hat betrad om eindelijk de details van de fout te onthullen, begonnen mensen de balzaal van Caesar's Palace in Las Vegas te overspoelen. De spreker voorafgaand aan Kaminsky haastte zich om de zaken af ​​te ronden. De stoelen raakten op en mensen zaten in kleermakerszit op elke vierkante centimeter tapijt. De grootmoeder van Kaminsky, die op de eerste rij zat, had voor het evenement 250 koekjes gebakken. Er waren lang niet genoeg. Kaminsky liep naar het podium. Er zijn daar veel mensen, zei hij. Heilige stront. Kaminsky is lang en zijn gebaren zijn een beetje onhandig. Begin augustus waren volgens hem meer dan 120 miljoen breedbandklanten beschermd, doordat internetproviders patches toepasten. Zeventig procent van de Fortune 500-bedrijven had hun systemen gepatcht en nog eens 15 procent werkte eraan. Hij voegde er echter aan toe dat 30 tot 40 procent van de naamservers op internet nog steeds niet waren gepatcht en kwetsbaar waren voor zijn 10 seconden durende cache-vergiftigingsaanval. Op het podium wisselde hij tussen een vrolijke beschrijving van de duistere mogelijkheden van zijn ontdekking en pogingen om de ernst op te brengen die past bij hun ernst. Hij sprak 75 minuten en werd zichtbaar lichter terwijl hij zichzelf ontlastte van zeven maanden aan geheimen. Toen hij zijn toespraak beëindigde, kwam de menigte dicht bij hem, en hij werd door verslaggever na verslaggever weggevoerd. Zelfs de beveiligingsexperts die het erover eens waren dat de kwetsbaarheid ernstig was, waren verrast door Kaminsky's enthousiaste omarming van de media-aandacht en zijn niet-aflatende poging om de fout bekend te maken. Later die dag ontving Kaminsky de Pwnie-prijs voor de meest overhyped bug van een groep beveiligingsonderzoekers. (Het woord pwn, dat rijmt op own, is internettaal voor volledig domineren. Kaminsky's prijs heeft als ondertitel The Pwnie voor pwn van de media.) Dai Zovi, die de prijs uitreikte, probeerde de publicaties op te sommen die Kaminsky's verhaal hadden gedragen. Hij gaf het op en zei: Wat? was je er niet bij? GQ! riep iemand uit het publiek. Kaminsky betrad het podium en spuwde twee zinnen uit: Sommige mensen vinden bugs; sommige mensen krijgen bugs opgelost. Ik ben blij dat ik in de tweede categorie zit. Hij zwaaide de onderscheiding - een gouden speelgoedpony - aan zijn felroze haar en liep door het lange gangpad van de balzaal de deur uit. Wie heeft de leiding?
Afhankelijk van je perspectief, was de manier waarop Kaminsky omging met de DNS-fout en de patch ofwel een gevaarlijke grootsheid die onnodig de publieke aandacht vestigde op de internetkwetsbaarheid of - zoals Kaminsky het ziet - een mediahack die nodig is om de gevaren van de bug onder de aandacht te brengen. Hoe dan ook, het verhaal wijst op de verontrustende afwezigheid van enig proces voor het identificeren en oplossen van kritieke gebreken op internet. Omdat internet zo gedecentraliseerd is, is er gewoon geen specifieke persoon of organisatie die de problemen moet oplossen. En hoewel de fout van Kaminsky bijzonder ernstig is, zeggen experts dat het waarschijnlijk niet de enige in de internetinfrastructuur is. Veel internetprotocollen zijn niet ontworpen voor het gebruik dat ze tegenwoordig gebruiken; veel van de beveiligingsfuncties zijn aangepakt en pakken de onderliggende kwetsbaarheden niet aan. Op de lange termijn moeten we architectonisch niet langer aannemen dat het netwerk zo vriendelijk is als het is, zegt Kaminsky. We zijn gewoon verslaafd aan het onveilig verplaatsen van gevoelige informatie over het internet. Wij kunnen het beter. Inderdaad, op een andere beveiligingsconferentie, slechts enkele dagen na Kaminsky's presentatie op Black Hat, hield een team van onderzoekers een lezing over ernstige gebreken in het routeringsgrensgateway-protocol van internet. Net als Kaminsky hadden de onderzoekers problemen gevonden met het fundamentele ontwerp van een internetprotocol. Net als de DNS-fout kan het probleem een ​​aanvaller in staat stellen brede toegang te krijgen tot gevoelig verkeer dat via internet wordt verzonden.
Veel experts zeggen dat wat er met de DNS-fout is gebeurd, het beste scenario is. Mischel Kwon, directeur van US-CERT, een afdeling van het Department of Homeland Security die heeft geholpen de DNS-bug bekend te maken, hoopt dat het netwerk van organisaties die in dit geval hebben samengewerkt, hetzelfde zal doen als er andere gebreken aan het licht komen. Hoewel er in de particuliere sector geen hiërarchie van gezag is, zegt Kwon, zijn er sterke banden tussen bedrijven en organisaties die de macht hebben om patches te implementeren. Ze zegt ervan overtuigd te zijn dat, gezien het geld en de moeite die wordt gestoken in het verbeteren van de beveiliging op internet, verouderde protocollen zullen worden bijgewerkt. Maar dat vertrouwen is niet gestoeld op een weloverwogen strategie. Wat als Kaminsky geen uitgebreide connecties had gehad binnen de beveiligingsgemeenschap of, erger nog, niet was toegewijd aan het oplossen van de fout in de eerste plaats? Wat als hij een echte zwarte hoed was geweest die erop uit was de kwetsbaarheid die hij had ontdekt uit te buiten? Wat als zijn schijnbaar bekwame manipulatie van de media een averechts effect had gehad en de details van de fout bekend waren geworden voordat de patch op zijn plaats was? Sterker nog, zelfs gezien de goede bedoelingen van onderzoekers als Kaminsky, is het repareren van basisfouten op internet niet eenvoudig. Experts zijn het erover eens dat het DNS-probleem geen uitzondering is. Er liggen verschillende voorstellen op tafel om het op te lossen door middel van betrouwbaarder dan een patch, meestal door het vertrouwen te verminderen dat een verzoekende server aan een nameserver toekent. Voorstellen variëren van relatief eenvoudige oplossingen, zoals het opnemen van nog meer willekeurige informatie in de verzoeken aan naamservers, tot het verplaatsen van het hele systeem naar een set protocollen waarmee naamservers hun antwoorden cryptografisch kunnen ondertekenen. In de tussentijd zeggen zowel Kaminsky als Vixie dat aanvallers gebruik zijn gaan maken van de DNS-fout en dat ze verwachten dat er nog meer problemen zullen komen. Kaminsky merkt op dat de fout bijzonder gevaarlijk wordt wanneer deze samen met andere kwetsbaarheden wordt misbruikt. Een dergelijke combinatie, zegt hij, zou een aanvaller in staat stellen de automatische updates over te nemen die een softwareleverancier naar zijn klanten stuurt en deze te vervangen door malware. Kaminsky zegt dat hij de afgelopen maanden aan de telefoon heeft gezeten met bedrijven die een aantrekkelijk doelwit zouden zijn voor dat soort aanvallen, zoals certificaatautoriteiten, sociale netwerken en internetserviceproviders, in een poging hen te overtuigen om zo snel mogelijk te patchen. Het enge is, zegt Dai Zovi, hoe kwetsbaar [het internet] is. … En wat gaan we eraan doen? Erica Naone is Assistent Editor bij Technologie recensie.

zich verstoppen