Majd' két hete röppent fel a hír, hogy Dan Kaminsky cache poisoningra lehetőséget fedezett fel a DNS protokollban. Kaminsky szerint "A probléma rendkívül komoly, az összes DNS szervert javítani kellene, amilyen gyorsan csak lehetséges. [...] a probléma magával a DNS protokollal van, nem meghatározott implementációval.", ezért a kutató arra kérte kollegáit, hogy tartózkodjanak a spekulációktól, amíg a nyilvánosság előtt fel nem fedi a problémát az idei Blackhaten, hogy így nyerjen időt a gyártóknak a hiba kijavítására, és a patchek kiadására. A bejelntést követő pánikszerű hangulatot jól jelzi, hogy igen közel a nevezési időszak végéhez, ilyen kevés rendelkezésre álló információ birtokában is jelölték a bugot a "Leginkább túlhypeolt hibának" járó Pwnie-díjra.
Halvar Flake azonban vizsgái szabadidejében nekiállt utánaolvasni a témának, és bár eleinte magával a DNS rendszer működésével sem volt teljesen tisztában, végül sikerült rájönnie a titokra. Látva, hogy a hibát egy hozzá hasonló, kvázi laikus illető is megtalálhatja, ényegében a full-disclosure filozófiáját követve végül közölte sejtését, melyről a netes közösség hamar megállapította, majd Kaminsky is elismerte, hogy valóban beharangozott hibáról van szó.
Íme tehát Flake írásának lényegi része magyarul (most már úgyis mindegy alapon):
Mallory meg akarja mérgezni az ns.polya.com-ra érkező, www.gmx.net-re kérdező DNS kéréseket. A gmx.net névszervere az ns.gmx.net, Mallory IP-je 224.224.224.224.
Mallory elkezd a www.ulam00001.com, www.ulam00002.com.... hosztokra vonatkozó hamis kéréseket küldeni az ns.polya.com-ra. Az ns.polya.com nem gyorsítótárazta még ezeket a címeket, tehát megkérdez egy gyökér szervert, hogy merre található a .com névszerver. Ez után meg is kapja a .com NS címét, akitől megkérdezi, hogy hopl találja az ulam00001.com, ulam00002.com, stb. névszerverét.
Mallory ez után hamisított, a .com névszervertől érkezőnek látszó válaszokat küld az ns.polya.com-nak, melyekben azt állítja, hogy az ulamYYYYY.com címekért felelős névszerver az ns.gmx.net, melynek címe 224.224.224.224.
A rengeteg www.ulamYYYYY.com domain kérésre azért van szükség, mert ugyan a DNS kérések egyedi azonosítóval védettek az ilyen jellegű hamisítások ellen, de az azonosítók mindössze 16 bit hosszúak, a mai DNS fogalom mellett pedig belátható időn belül összehozható egy jó kis ütközés.
A hibáról, és a lehetséges javítási módokról a Matasano Chargenen jelent meg véletlenül egy elég jó összefoglaló, amit azóta - Kaminsky elveit követve - leszedtek, de a hivatalos bejelentést követően minden bizonnyal vissza fognak rakni. Ennek tanúsága szerint egy megfelelően gyors internetkapcsolattal rendelkező támadó kb. 10 másodperc alatt véghez tud vinni egy ilyen támadást.
Aki teheti, sürgősen foltozza be a fennhatósága alá tartozó NS-eket, vagy váltson OpenDNS-re
.Andrei (törölt) · http://www.andreiground.com/ 2008.07.22. 22:44:20
badkarma · http://badkarma.blog.hu 2008.07.23. 10:43:17
Gigaoverhype. Remelem nem csak ennyi, de mivel Dan bejelentette, hogy "The skies aren't falling" en erre tippelnek.
IPhone FTW \o/
BK
phr3ak 2008.07.23. 12:43:09
buherator · http://buhera.blog.hu 2008.07.23. 20:10:22
Köszi a linket! Gyk.: ez a papír volt fennt a Matasanon. Addig nem teszem közzé a magyar változatot, amig az eredeti helyre fel nem rakják, de azt hiszem, hogy akinek érdekes a téma, az megbírkózik az angollal is :)
@phr3ak
Igen, az időzítés is fontos tényező.