Lessons from Skype in migrating and managing large-scale Linux infrastructure on Azure IaaS
用于连接互联网上的计算机的软件制造商星期二共同发布了软件更新,以修复互联网底层协议之一 - 域名系统(DNS)中的严重错误。
错误被安全厂商IOActive的研究人员Dan Kaminsky发现“完全意外”。 Kaminsky,思科系统公司的前员工,因其在网络工作中的知名度而闻名于世。
通过向DNS服务器发送某些类型的查询,攻击者可以将受害者重定向到合法网站 - 例如Bofa.com - 一个恶意网站,而受害者不会意识到这一点。这种类型的攻击(称为DNS缓存中毒)不会仅影响Web。它可以用来将所有的互联网流量重定向到黑客的服务器。
[进一步阅读:如何从你的Windows PC中移除恶意软件]这个漏洞可能被利用“就像钓鱼攻击,而不发送电子邮件, “Qualys安全公司首席技术官Wolfgang Kandek说,”虽然这个漏洞确实影响了一些家庭路由器和客户端DNS软件,但对于运行使用的DNS服务器的企业用户和ISP(互联网服务提供商)而言,这主要是一个问题Kaminsky表示,个人电脑可以在互联网上找到方向。他在周二的一次电话会议中表示:“家庭用户不应该感到恐慌,”在几个月前发现这个bug之后,Kaminsky立即召集了大约16位负责DNS产品的安全专家,他们在3月31日在微软见面找出解决问题的方法。 “我联系了其他人,并说,'我们有问题',”卡明斯基说。 “我们能做到这一点的唯一方法就是如果我们在所有平台上同时发布的版本。”
这个大规模的错误修复发生在周二,当时几个最广泛使用的DNS软件提供商发布了补丁。微软,思科,红帽,Sun Microsystems和互联网软件联盟是最广泛使用的DNS服务器软件的制造商,他们都更新了他们的软件来解决这个问题。
互联网软件联盟的开源BIND(伯克利互联网名称域)软件在大约80%的互联网DNS服务器上运行。对于大多数BIND用户来说,修复将是一个简单的升级,但对于估计有15%的BIND用户还没有转移到最新版本的BIND 9,可能会有点困难。
这就是因为旧版本的BIND在BIND 9发布时有一些受欢迎的功能,根据互联网软件联盟高级项目经理Joao Damas的说法,
Kaminsky的错误与DNS客户端和服务器获取信息的方式有关互联网上的其他DNS服务器。当DNS软件不知道计算机的数字IP(互联网协议)地址时,它会向另一台DNS服务器询问此信息。在缓存中毒的情况下,攻击者会诱使DNS软件认为合法域(如Bofa.com)映射到恶意IP地址。
安全研究人员已经知道如何在一段时间内针对DNS服务器启动这些缓存中毒攻击,但通常这些攻击要求攻击者向他们试图感染的DNS服务器发送大量数据,这使得攻击更易于检测和阻止。但是,Kaminsky发现了一种更有效的方式来发起成功的攻击。<
因为Kaminsky的缺陷在于DNS本身的设计,所以没有简单的方法来修复它,Damas说。相反,像ISC这样的公司已经在他们的软件中增加了一种新的安全措施,这使得缓存中毒变得更加困难。然而,从长远来看,处理缓存中毒的最有效方法是采用更安全称为DNSSEC的DNS版本称Arbor Networks的首席研究官Danny McPherson。他说,星期二的修复基本上是“一种让它变得更加困难的黑客攻击”。 “但它不能解决根本问题。”
Kaminsky说,他将在网络管理员在下个月在拉斯维加斯举行的黑帽会议上披露有关该漏洞的更多技术细节之前,给网络管理员一个月修补软件。与此同时,他在他的网站上发布了代码,允许用户查看他们的公司或ISP的DNS服务器是否已被修补。