Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A hackerek, akik megmentették a netet III.

2008.12.08. 17:06 | buherator | 2 komment

Első

Második

És íme a harmadik, egyben befejező rész:

És a helyzet csak súlyosbodni látszott. A legtöbb e-kereskedelmi tranzakciót titkosítják. A titkosítást a VeriSignhoz hasonló cégek szolgáltatják. Az online árusok meglátogatják a VeriSign oldalát, megveszik a [tanúsítványukat], a vásárlók pedig biztosak lehetnek benne, hogy a tranzakcióik biztonságosan bonyolódnak.

De ez többé nincs így. Kaminsky exploitja lehetővé teszi a támadónak, hogy átirányítsa a VeriSign webes forgalmát az eredeti oldal tökéletes másolatára. A hacker ezután  a saját [tanusítványait] kínálhatja, amelyekkel később visszaélhet. A gyanútlan szolgáltatók telepíteni fogjáka  titkosítást és abban a biztonság hitében vágnak bele az üzletbe. A biztonságos internetes kommunikációt a pusztulás fenyegette.

David Ulevitch ennek ellenére mosolygott. Az OpenDNS alapítója, akinek cége világszerte üzemeltet DNS szervereket most tanúja volt a tour de force-t - Michael Phelps 8 olimpiai aranyának kockafejű megfelelőjét. Pályafutása során Ulevitch soha nem találkozott olyan sebezhetőséggel, ami ilyen erejű, és ilyen egyszerűen kivitelezhető lett volna. "Ez egy csodálatosan katasztrofális támadás" - bámult félelemmel vegyes csodálattól szédülten. 

Sandy Wilburnnek nehéz útja volt vissza San Franciscoba. Cégét a Nominiumot szélessávú szolgáltatók fizették, hogy DNs szolgáltatást nyújtson 150 millió ügyfélnek. Lesúlytó volt, amit Redmondban hallott. 10-ből 9 pontot kapott a katasztrófa skálán. Adhatott volna 10-et is, de úgy tűnt, hogy a dolgok még tovább fognak rosszabbodni. Teret kellett hagynia a növekedésnek.

Wilbourn azonnal megérezte a dolog hatását, hiszen az ország Internetforgalmának 40 százaléka az ő szerverein ment keresztül. Ha egy szó is nyilvánosságra kerül a sebezhetőségről a heckerek könnyen átvehetik az irányítást a gépei fölött.

Redwood city-i irodájában elkülönített egy merevlemezt, hogy csak ő tudjon hozzáférni. Aztán magához hívta három vezető mérnökét, bezárta az ajtót, elmondta nekik, hogy amiről most akar beszélni, azt senkivel sem szabad megosztani - otthon, és a cégnél sem. Még a belső levelezésüket is titkosítaniuk kell mostantól.

A feladatuk: változtassák meg a Nominium DNS szervereinek alapvető működését. Nekik és az ügyfeleiknek a szokásos tesztelés és a külső visszajelzések figyelembevétele nélkül kell mindezt megoldani. A megvalósítás - amikor a módosítás életbelép az emberek millióinál - lesz az első éles teszt is egyben.

Ijesztő feladat volt, de mindenki aki ott volt Redmondban megegyezet, hogy ugyanezt fogják tenni. Titokban fogják csinálni, aztán július 8-án mindannyian egyszerre eresztik el a foltjaikat.  Ha a hackerek eddig nem tudták, hogybiztonsági rés tátong a DNS-en, most már tudni fogják. Csak azt nem fogják tudni, hogy mi is volt az pontosan. A Nominiumnak és a többi DNS szoftvergyárónak meg kell győznie ügyfeleit - a kis regionális szolgáltatóktól kezdve az olyan kábelóriásokig, mint a Comcast - , hogy gyorsan frissítsenek. Ez egy verseny lesz amelyben előbb kell foltozni a szervereket, mint hogy a hackerek rájönnek a turpisságra.

Bár a redmondi csoport megegyezett az együttcselekvésben, a folt - a forrásport randomizációnak nevezett megoldás - nem elégített ki mindenkit. Ez csak egy rövidtávú megoldás volt, ami a sikeres támadás 1 a 65536-hoz esélyét 1 a 4 milliárdhoz csökkentette. 

De egy hacker még így is megtehette volna, hogy egy automatizált rendszer segítségével végtelennyi csomaggal árasztja el a szervert. Egy nagysebességű kapcsolattal, egy heti non-stop támadással valószínűleg célt érne. A szemfüles hálózati operátorok persze felfigyelnének a forgalom kiugrására, és egyszerűen leblokkolhatnák a támadót. Ha azonban nem veszik észre a támadás működik. A folt csupán tovább görgette a Kaminsky által felfedezett problémát.

Július 8-án másokkal együtt a Nominium, a Microsoft, a Cisco, a Sun Microsystems, az Ubuntu és a Red Hat is kiadta a forrásport randomizációs foltokat. Wilbourn ezt az Internet történetének leghatalmasabb többgyártós javításának nevezte. Az olyan ISP-k, mint a Verzion vagy a Comcast, akik installálták a foltokat tudni akarták, hogy mi volt a probléma. Wilbourn elmondta nekik, hogy elképesztően fontos, hogy telepítsék a foltot, de az ok titokban kellett maradjon Kaminsky las vegasi előadásáig.

Bár Kaminsky  interjút  adott a javítás fontosságával kapcsolatban a Los Angeles Timestól kezdve a CNET-ig mindenkinek, az IT biztonsági szcéna fellázadt. "Ha tanácsot kell adnunk a menedzsmentnek, nem mondhatjuk azt, hogy 'csak bízzunk meg Danben'" - írta egy hálózati adminisztrátor az egyik biztonsági levelezőlistára. Egy névtelen szerző ezt ítra egy blogon Kaminskynak: "Arra kéred az embereket, hogy ne találgassanak az előadásodig, közben meg te magad szórod el az információmorzsákat minden újságban, magazinban, hogy a neved bejárja a Google-t és szerezz 5 perc hírnevet? Ezért utálnak az emberek és ezért kívánják, hogy bárcsak egy McDonald's-ban dolgonál." 

Válaszul Kaminsky eldöntötte, hogy nyit néhány befolyásos biztonsági szakértő felé, hogy megnyerje a bizalmukat. Konferenciahívást kezdeményezett Rich Mogull-al, a nagyrabecsült biztonsági cég, a Securosis alapítójával, Dino Dai Zovi-al, és Thomas Ptacek-el, az egyik becsmérlővel, akinek később elnézést kellet kérni Vixietől és Kaminskytől ármánykodásáért.

A hívás július 9-én zajlott, Kaminsky belement, hogy megossza a sebezhetőség részleteit, ha Mogull, Dai Zovi és Ptacek titokban tartják a dolgot a augusztus 6-ig, a vegasi beszéd időpontjáig. A felek belementek a dologba, Kaminsky pedig bemutatta nekik a hibát. A szakértők megdöbbentek. Mogull ezt írta: "Ez kétség kívül egyike a legkivételesebb kutatási projekteknek, amit valaha láttam." Ptacek pedig ezt írta egy blogposztban: "Dan aranyat lelt. Ez tényleg kib*szottul jó"

És aztán, Július 21-én, az exploit teljes leírása megjelent Ptacek cégének weboldalán. Ptacek azt állította, hogy véletlenül került ki, de elismerte, hogy a leírást azért készítette elő, hogy Kaminskyvel együtt tudja nyilvánsosságra hozni azt. Bár egy idő után eltüntette, de a leírás bejárta a webet. A DNS közösség hónapokig titokban tartotta. A IT biztonsági közösség nem bírta magában tartani 12 napon keresztül sem. [hát igen, ez már csak egy ilyen izgága társaság ;)]

Egy héttel később a Kaminsky féle hibát kihasználva beszivárogtak az AT&T egyik texasi szerverére. A támadó átvette az irányítást a google.com fölött, így amikor az austini körzet AT&T felhasználói megpróbáltak hozzáférni a keresőhöz, egy ahhoz nagyon hasonló, de reklámokkal teletűzdelt oldalra jutottak. Akárki is állt a támadás mögött, valószínűleg profitált a jócskán megnövekedett klikkelési forgalomból. 

Minden nap számított. Amíg Kaminsky, Vixie és mások a hálózati operátorokat győzködték, hogy telepítség a foltot, feltehetően újab hackek történtek. De a Kaminsky támadás - ahogy mostanában ismerik - szépsége az volt, hogy alig hagyott nyomot maga után. Egy jó hacker eltéríthette volna az e-maileket, kicserélhette volna a jelszavakat, szélsebesen leszívhatta volna a bankszámlákat. A bankok valószínűleg nem verték volna nagy dobra a támadást - az online lopás rossz PR-ral jár. Inkább fedeztik az áldozatok veszteségét.

Augusztus 6-án százak gyűltek össze a Ceasars Palace konferenciatermében, hogy meghallgassák Kaminsky beszédét. A székek gyorsan megteltek, nézők tömegeit hagyva hering módjára bámészkodni a terem hátuljában. Biztonsági szakemberek egy csoportja gúnyosan Az Év Leginkább Túlspirázott Hibájának díjára jelölték Kaminskyt, és sokan voltak kíváncsiak az igazságra: tényleg szükség volt a hatalmas foltozásra, vagy Kaminsky csak egy arrogáns, hetvenkedő, médiafényre áhítózó alak? 

Miközben nagymamája házi készítésú teasüteményt adott át neki, Kaminsky fellépett a színpadra egy fekete pólót viselve, melyen Pacman ült a vacsoraasztalnál. Próbált higgadt maradni. "Ki vagyok én?" - tette fel a költői kérdést. "Egy srác. Kódolgatok."

Az önfényezés nem állt jól neki. Rocksztárként vághatott fel, de egy meg nem értett zseni hangján szólalt meg. Miután befejezte a DNS probléma részletezését, kihívóan összegezte a támadást: "Az emberek jó sok szart dobáltak rám. Ez az én válaszom."

Ekkorra Internet felhasználók százmilliói voltak biztonságban. A bombát hatástalanították. Az volt a baj, hogy kevés egyetértés volt a hosszútávú megoldást illetően. A legtöbb eszmecsere a DNS forgalom minden bitjének koncepciójára fókuszált. Ez azt jelenti, hogy a világ összes számítógépének - az iPhoneoktól a céges szerverközpontokig - DNs autentikációs szoftverrel kellene rendelkezniük.  A gyökér szerver garantálhatná, hogy a valódi .com névszerverrel kommunikálunk, és a .com is kriptográfiai biztosítékot adna arról, hogy például a valódi Google-lel beszélünk. Egy csaló csomag nem tudná hitelesíteni magát, véget vetve a DNS támadásoknak. Az eljárásnak, melynek neve DNSSEC, máris nagy kaliberű támogatói vannak, köztük Vixie és az Egyesült Államok kormánya.

De egy DNSSEC-hez hasonló hatalmas és összetett protokol megvalósítása nem könnyű. Vixie már évek óta próbálja meggyőzni az embereket, de eddig nem járt sikerrel. Akárhogy is a dolog sok vitát fog kiváltani. Kaminsky gonoszabb biztonsági problémák eljövetelét vetítette előre előadása végén. Az a fajta jóslat volt ez, ami az IT biztonság meghatározó személyiségévé tett őt. "Ez nem az Internet megmentése volt" - mondta - "csak az elerülhetetlen elodázása még egy kis idővel."

Aztán elhagyta a színpadot, és megette az egyik sütit, amit a nagymamájától kapott.

-- EOS --

Ennyi volt a móka mára, remélem mindenki leszűrte a kellő tanulságot, de az eddigi kommentek alapján érzem, hogy sikerült egy kicsit gondolatot ébreszteni, aminek őszintén örülök! Ha tehát mondandótok van, ne tartsátok magatokban :)

Címkék: kultúra történelem dns dnssec kaminsky

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

agyvihar · http://agyvihar.blog.hu/ 2008.12.09. 07:41:44

A helyesírásellenőrzőt érdemes lenne bevetni.

buherator · http://buhera.blog.hu 2008.12.09. 09:37:31

sry, speedmetalban írtam.