Első

Második

És íme a harmadik, egyben befejező rész:

És a helyzet csak súlyosbodni látszott. A legtöbb e-kereskedelmi tranzakciót titkosítják. A titkosítást a VeriSignhoz hasonló cégek szolgáltatják. Az online árusok meglátogatják a VeriSign oldalát, megveszik a [tanúsítványukat], a vásárlók pedig biztosak lehetnek benne, hogy a tranzakcióik biztonságosan bonyolódnak.

De ez többé nincs így. Kaminsky exploitja lehetővé teszi a támadónak, hogy átirányítsa a VeriSign webes forgalmát az eredeti oldal tökéletes másolatára. A hacker ezután  a saját [tanusítványait] kínálhatja, amelyekkel később visszaélhet. A gyanútlan szolgáltatók telepíteni fogjáka  titkosítást és abban a biztonság hitében vágnak bele az üzletbe. A biztonságos internetes kommunikációt a pusztulás fenyegette.

David Ulevitch ennek ellenére mosolygott. Az OpenDNS alapítója, akinek cége világszerte üzemeltet DNS szervereket most tanúja volt a tour de force-t - Michael Phelps 8 olimpiai aranyának kockafejű megfelelőjét. Pályafutása során Ulevitch soha nem találkozott olyan sebezhetőséggel, ami ilyen erejű, és ilyen egyszerűen kivitelezhető lett volna. "Ez egy csodálatosan katasztrofális támadás" - bámult félelemmel vegyes csodálattól szédülten. 

Sandy Wilburnnek nehéz útja volt vissza San Franciscoba. Cégét a Nominiumot szélessávú szolgáltatók fizették, hogy DNs szolgáltatást nyújtson 150 millió ügyfélnek. Lesúlytó volt, amit Redmondban hallott. 10-ből 9 pontot kapott a katasztrófa skálán. Adhatott volna 10-et is, de úgy tűnt, hogy a dolgok még tovább fognak rosszabbodni. Teret kellett hagynia a növekedésnek.

Wilbourn azonnal megérezte a dolog hatását, hiszen az ország Internetforgalmának 40 százaléka az ő szerverein ment keresztül. Ha egy szó is nyilvánosságra kerül a sebezhetőségről a heckerek könnyen átvehetik az irányítást a gépei fölött.

Redwood city-i irodájában elkülönített egy merevlemezt, hogy csak ő tudjon hozzáférni. Aztán magához hívta három vezető mérnökét, bezárta az ajtót, elmondta nekik, hogy amiről most akar beszélni, azt senkivel sem szabad megosztani - otthon, és a cégnél sem. Még a belső levelezésüket is titkosítaniuk kell mostantól.

A feladatuk: változtassák meg a Nominium DNS szervereinek alapvető működését. Nekik és az ügyfeleiknek a szokásos tesztelés és a külső visszajelzések figyelembevétele nélkül kell mindezt megoldani. A megvalósítás - amikor a módosítás életbelép az emberek millióinál - lesz az első éles teszt is egyben.

Ijesztő feladat volt, de mindenki aki ott volt Redmondban megegyezet, hogy ugyanezt fogják tenni. Titokban fogják csinálni, aztán július 8-án mindannyian egyszerre eresztik el a foltjaikat.  Ha a hackerek eddig nem tudták, hogybiztonsági rés tátong a DNS-en, most már tudni fogják. Csak azt nem fogják tudni, hogy mi is volt az pontosan. A Nominiumnak és a többi DNS szoftvergyárónak meg kell győznie ügyfeleit - a kis regionális szolgáltatóktól kezdve az olyan kábelóriásokig, mint a Comcast - , hogy gyorsan frissítsenek. Ez egy verseny lesz amelyben előbb kell foltozni a szervereket, mint hogy a hackerek rájönnek a turpisságra.

Bár a redmondi csoport megegyezett az együttcselekvésben, a folt - a forrásport randomizációnak nevezett megoldás - nem elégített ki mindenkit. Ez csak egy rövidtávú megoldás volt, ami a sikeres támadás 1 a 65536-hoz esélyét 1 a 4 milliárdhoz csökkentette. 

De egy hacker még így is megtehette volna, hogy egy automatizált rendszer segítségével végtelennyi csomaggal árasztja el a szervert. Egy nagysebességű kapcsolattal, egy heti non-stop támadással valószínűleg célt érne. A szemfüles hálózati operátorok persze felfigyelnének a forgalom kiugrására, és egyszerűen leblokkolhatnák a támadót. Ha azonban nem veszik észre a támadás működik. A folt csupán tovább görgette a Kaminsky által felfedezett problémát.

Július 8-án másokkal együtt a Nominium, a Microsoft, a Cisco, a Sun Microsystems, az Ubuntu és a Red Hat is kiadta a forrásport randomizációs foltokat. Wilbourn ezt az Internet történetének leghatalmasabb többgyártós javításának nevezte. Az olyan ISP-k, mint a Verzion vagy a Comcast, akik installálták a foltokat tudni akarták, hogy mi volt a probléma. Wilbourn elmondta nekik, hogy elképesztően fontos, hogy telepítsék a foltot, de az ok titokban kellett maradjon Kaminsky las vegasi előadásáig.

Bár Kaminsky  interjút  adott a javítás fontosságával kapcsolatban a Los Angeles Timestól kezdve a CNET-ig mindenkinek, az IT biztonsági szcéna fellázadt. "Ha tanácsot kell adnunk a menedzsmentnek, nem mondhatjuk azt, hogy 'csak bízzunk meg Danben'" - írta egy hálózati adminisztrátor az egyik biztonsági levelezőlistára. Egy névtelen szerző ezt ítra egy blogon Kaminskynak: "Arra kéred az embereket, hogy ne találgassanak az előadásodig, közben meg te magad szórod el az információmorzsákat minden újságban, magazinban, hogy a neved bejárja a Google-t és szerezz 5 perc hírnevet? Ezért utálnak az emberek és ezért kívánják, hogy bárcsak egy McDonald's-ban dolgonál." 

Válaszul Kaminsky eldöntötte, hogy nyit néhány befolyásos biztonsági szakértő felé, hogy megnyerje a bizalmukat. Konferenciahívást kezdeményezett Rich Mogull-al, a nagyrabecsült biztonsági cég, a Securosis alapítójával, Dino Dai Zovi-al, és Thomas Ptacek-el, az egyik becsmérlővel, akinek később elnézést kellet kérni Vixietől és Kaminskytől ármánykodásáért.

A hívás július 9-én zajlott, Kaminsky belement, hogy megossza a sebezhetőség részleteit, ha Mogull, Dai Zovi és Ptacek titokban tartják a dolgot a augusztus 6-ig, a vegasi beszéd időpontjáig. A felek belementek a dologba, Kaminsky pedig bemutatta nekik a hibát. A szakértők megdöbbentek. Mogull ezt írta: "Ez kétség kívül egyike a legkivételesebb kutatási projekteknek, amit valaha láttam." Ptacek pedig ezt írta egy blogposztban: "Dan aranyat lelt. Ez tényleg kib*szottul jó"

És aztán, Július 21-én, az exploit teljes leírása megjelent Ptacek cégének weboldalán. Ptacek azt állította, hogy véletlenül került ki, de elismerte, hogy a leírást azért készítette elő, hogy Kaminskyvel együtt tudja nyilvánsosságra hozni azt. Bár egy idő után eltüntette, de a leírás bejárta a webet. A DNS közösség hónapokig titokban tartotta. A IT biztonsági közösség nem bírta magában tartani 12 napon keresztül sem. [hát igen, ez már csak egy ilyen izgága társaság ;)]

Egy héttel később a Kaminsky féle hibát kihasználva beszivárogtak az AT&T egyik texasi szerverére. A támadó átvette az irányítást a google.com fölött, így amikor az austini körzet AT&T felhasználói megpróbáltak hozzáférni a keresőhöz, egy ahhoz nagyon hasonló, de reklámokkal teletűzdelt oldalra jutottak. Akárki is állt a támadás mögött, valószínűleg profitált a jócskán megnövekedett klikkelési forgalomból. 

Minden nap számított. Amíg Kaminsky, Vixie és mások a hálózati operátorokat győzködték, hogy telepítség a foltot, feltehetően újab hackek történtek. De a Kaminsky támadás - ahogy mostanában ismerik - szépsége az volt, hogy alig hagyott nyomot maga után. Egy jó hacker eltéríthette volna az e-maileket, kicserélhette volna a jelszavakat, szélsebesen leszívhatta volna a bankszámlákat. A bankok valószínűleg nem verték volna nagy dobra a támadást - az online lopás rossz PR-ral jár. Inkább fedeztik az áldozatok veszteségét.

Augusztus 6-án százak gyűltek össze a Ceasars Palace konferenciatermében, hogy meghallgassák Kaminsky beszédét. A székek gyorsan megteltek, nézők tömegeit hagyva hering módjára bámészkodni a terem hátuljában. Biztonsági szakemberek egy csoportja gúnyosan Az Év Leginkább Túlspirázott Hibájának díjára jelölték Kaminskyt, és sokan voltak kíváncsiak az igazságra: tényleg szükség volt a hatalmas foltozásra, vagy Kaminsky csak egy arrogáns, hetvenkedő, médiafényre áhítózó alak? 

Miközben nagymamája házi készítésú teasüteményt adott át neki, Kaminsky fellépett a színpadra egy fekete pólót viselve, melyen Pacman ült a vacsoraasztalnál. Próbált higgadt maradni. "Ki vagyok én?" - tette fel a költői kérdést. "Egy srác. Kódolgatok."

Az önfényezés nem állt jól neki. Rocksztárként vághatott fel, de egy meg nem értett zseni hangján szólalt meg. Miután befejezte a DNS probléma részletezését, kihívóan összegezte a támadást: "Az emberek jó sok szart dobáltak rám. Ez az én válaszom."

Ekkorra Internet felhasználók százmilliói voltak biztonságban. A bombát hatástalanították. Az volt a baj, hogy kevés egyetértés volt a hosszútávú megoldást illetően. A legtöbb eszmecsere a DNS forgalom minden bitjének koncepciójára fókuszált. Ez azt jelenti, hogy a világ összes számítógépének - az iPhoneoktól a céges szerverközpontokig - DNs autentikációs szoftverrel kellene rendelkezniük.  A gyökér szerver garantálhatná, hogy a valódi .com névszerverrel kommunikálunk, és a .com is kriptográfiai biztosítékot adna arról, hogy például a valódi Google-lel beszélünk. Egy csaló csomag nem tudná hitelesíteni magát, véget vetve a DNS támadásoknak. Az eljárásnak, melynek neve DNSSEC, máris nagy kaliberű támogatói vannak, köztük Vixie és az Egyesült Államok kormánya.

De egy DNSSEC-hez hasonló hatalmas és összetett protokol megvalósítása nem könnyű. Vixie már évek óta próbálja meggyőzni az embereket, de eddig nem járt sikerrel. Akárhogy is a dolog sok vitát fog kiváltani. Kaminsky gonoszabb biztonsági problémák eljövetelét vetítette előre előadása végén. Az a fajta jóslat volt ez, ami az IT biztonság meghatározó személyiségévé tett őt. "Ez nem az Internet megmentése volt" - mondta - "csak az elerülhetetlen elodázása még egy kis idővel."

Aztán elhagyta a színpadot, és megette az egyik sütit, amit a nagymamájától kapott.

-- EOS --

Ennyi volt a móka mára, remélem mindenki leszűrte a kellő tanulságot, de az eddigi kommentek alapján érzem, hogy sikerült egy kicsit gondolatot ébreszteni, aminek őszintén örülök! Ha tehát mondandótok van, ne tartsátok magatokban :)