Internet Bug修复产生黑客攻击

Kaminsky在周二发布了头条新闻。谈论DNS（域名系统）中的一个主要缺陷，用于在互联网上将计算机彼此连接起来。 3月下旬，他将16家制作DNS软件的公司（微软，思科和Sun Microsystems等公司）聚集在一起，并谈到解决问题并联合发布补丁。但是，Kaminsky的一些同行对此表示不以为然。这是因为他违反了披露的基本原则之一：公布缺陷而不提供技术细节来验证他的发现。星期三他在博客上进一步提出了一些建议，要求黑客在下个月避免研究这个问题，当时他计划在黑帽安全会议上发布更多关于它的信息。媒体流和备份]

这个漏洞似乎是一个严重漏洞，可以在所谓的“缓存中毒攻击”中被利用。这些攻击攻击了DNS系统，利用它将受害者重定向到不知情的恶意网站。他们已经知道了多年，但可能很难取消。但是Kaminsky声称已经找到了一种非常有效的方式来发起这样的攻击，这要归功于DNS协议本身的设计中的一个弱点。然而，星期二Kaminsky阻止了他披露他的发现的技术细节。

他表示，他希望公开这个问题，向公司IT人员和互联网服务提供商施压，更新他们的DNS软件，同时让坏人不知道问题的确切性质。他周三接受采访时表示，完全公开披露技术细节会使互联网不安全。 “现在，这些东西都不需要公开。”他很快收到了Matasano安全研究员Thomas Ptacek的怀疑反应，他博客说明Kaminsky的缓存中毒攻击仅仅是众多披露中的一个，强调了同样众所周知的问题使用DNS - 在与Internet上的其他计算机进行通信时，创建随机数字以创建唯一的“会话ID”字符串的工作做得不够好

“DNS中的错误是它有一个16位会议ID“，他周三通过电子邮件表示。 “你不能用少于128位的会话ID部署一个新的Web应用程序，我们从90年代就已经知道这个基本问题。”

“面对另一个超级错误的访谈和媒体爆炸的冲击“Dan Kaminsky写道，”在Matasano博客上写了一张厌倦（匿名）的海报。在一个备受尊敬的安全博客SANS Internet Storm Center中，一位博客推测Kaminsky的错误实际上是在三年前披露的。

Kaminsky是安全厂商IOActive的渗透测试总监，他表示他对一些负面反应“非常惊讶”，但这种怀疑对于黑客社区至关重要。 “我违反规定，”他承认。 “咨询公司没有足够的信息来找出攻击事件，而我正在吹嘘它。”

根据DNS专家Paul Vixie的说法，为数不多的人对Kaminsky的发现进行了详细的介绍，与三年前由SANS报道的问题不同。虽然Kaminsky的缺陷在同一个领域，但“这是一个不同的问题，”互联网系统联盟（Internet Systems Consortium）的主席，互联网上使用最广泛的DNS服务器软件的制造商Vixie说。应该立即修补，乔治亚理工学院的DNS研究员David Dagon说，他也向这个bug汇报了情况。 “有了很少的细节，有一些人质疑Dan Kaminsky是否重新包装了DNS攻击中的旧作品，”他在电子邮件采访中说。 “认为世界上的DNS供应商不会无理由地修补和宣布是不可行的。”

到了一天结束时，Kaminsky甚至将他最有声望的评论家Matasano的Ptacek变成了他的博客，他在Kaminsky解释了他在电话上的研究细节之后发布了这个博客。 “他有货，”普泰切克后来说。虽然攻击是基于以前的DNS研究，但它使缓存中毒攻击非常容易实现。 “他几乎把它指向并点击到我们看不到的地方。”

Kaminsky剩下的批评者将不得不等到他8月7日的黑帽演示文稿才能确定地知道。

这位安全研究人员表示，他希望他们出席讲话。 “如果我没有利用，”他说。 “我应该得到一切愤怒和不信任。”