इंटरनेट बग फिक्स स्पाक्स बैकलेश से हैकर्स से

हैकर्स एक उलझन भरा झुकाव है, लेकिन यह दान कामिंस्की को परेशान नहीं करता है, जिसने इंटरनेट के बुनियादी ढांचे में एक महत्वपूर्ण बग की खोज करने के बाद सुरक्षा अनुसंधान समुदाय में अपने सहयोगियों से बहुत सारी सांस ली।

कामिन्स्की मंगलवार को सुर्खियों में डीएनएस (डोमेन नेम सिस्टम) में एक प्रमुख दोष के बारे में बात करते हुए, कंप्यूटर पर इंटरनेट पर एक दूसरे से कनेक्ट होते थे। मार्च के उत्तरार्ध में उन्होंने 16 कंपनियों को एक साथ समूहीकृत किया, जो माइक्रोसॉफ्ट, सिस्को और सन माइक्रोसिस्टम्स जैसे कंपनियों को डीएनएस सॉफ्टवेयर बनाने में कामयाब रहे और उन्होंने समस्या को ठीक करने और इसके लिए संयुक्त रूप से पैच जारी करने की बात की।

लेकिन कुछ कामिंसकी के साथियों को असम्पीडित किया गया। ऐसा इसलिए है क्योंकि उन्होंने प्रकटीकरण के मुख्य नियमों में से एक का उल्लंघन किया: अपने निष्कर्षों को सत्यापित करने के लिए तकनीकी विवरण प्रदान किए बिना किसी दोष का प्रचार करना। बुधवार को उन्होंने अपने ब्लॉग पर कुछ और कदम उठाए, जो कि हैकर को अगले महीने तक समस्या पर शोध करने से बचने के लिए कहता है, जब वह ब्लैकहॉट सुरक्षा सम्मेलन में इसके बारे में अधिक जानकारी जारी करने की योजना बना रहा है।

[और पठन: सर्वश्रेष्ठ NAS बॉक्स मीडिया स्ट्रीमिंग और बैकअप]

दोष गंभीर रूप से प्रतीत होता है जिसे "कैश विषाक्तता हमले" कहा जाता है। ये हमले पीड़ितों को अपने ज्ञान के बिना दुर्भावनापूर्ण वेब साइटों पर पुनर्निर्देशित करने के लिए इसका इस्तेमाल करते हुए DNS सिस्टम हैक करते हैं। उन्हें कई सालों के बारे में जाना जाता है लेकिन बंद खींचना मुश्किल हो सकता है। लेकिन कमिंस्की का दावा है कि इस तरह के हमले को शुरू करने का एक बहुत प्रभावी तरीका है, डीएनएस प्रोटोकॉल के डिजाइन में एक भेद्यता के लिए धन्यवाद।

मंगलवार को, हालांकि, कामिन्स्की ने अपने खोज के तकनीकी विवरण का खुलासा नहीं किया।

उन्होंने कहा कि वह कॉर्पोरेट आईटी कर्मचारियों और इंटरनेट सेवा प्रदाताओं पर अपने DNS सॉफ़्टवेयर को अपडेट करने के लिए इस मुद्दे के साथ सार्वजनिक होना चाहते थे, जबकि साथ ही बुरे लोगों को समस्या की सटीक प्रकृति के बारे में अंधेरे में रखना था। तकनीकी विवरण के एक पूर्ण सार्वजनिक प्रकटीकरण इंटरनेट को असुरक्षित बना देगा, उन्होंने एक साक्षात्कार में बुधवार को कहा। "अभी, इस सामान में से किसी को भी सार्वजनिक होने की जरूरत नहीं है।"

उन्हें तुरंत मटासैनो सुरक्षा शोधकर्ता थॉमस पटेसेक से एक संदिग्ध प्रतिक्रिया मिली, जिन्होंने ब्लॉग किया कि कामिंस्की के कैश विषाक्तता हमले केवल एक ही ज्ञात समस्या को रेखांकित करते हुए कई खुलासाओं में से एक है DNS के साथ - यह इंटरनेट पर अन्य कंप्यूटरों के साथ संवाद करते समय अद्वितीय "सत्र आईडी" स्ट्रिंग बनाने के लिए यादृच्छिक संख्या बनाने में पर्याप्त काम नहीं करता है।

"DNS में बग यह है कि इसमें 16-बिट है सत्र आईडी, "उन्होंने बुधवार को एक ई-मेल के माध्यम से कहा। "आप 128-बिट सत्र आईडी से कम के साथ एक नया वेब ऐप नहीं तैनात कर सकते हैं। हम 90 के दशक से उस मौलिक समस्या के बारे में जानते हैं।

" यहां एक और अतिरंजित बग के लिए साक्षात्कार और मीडिया विस्फोट के हमले आते हैं दान कामिंस्की द्वारा, "मैट्सानो ब्लॉग में एक मशहूर (और गुमनाम) पोस्टर लिखा था।

एसएएनएस इंटरनेट स्टॉर्म सेंटर पर, एक उच्च सम्मानित सुरक्षा ब्लॉग, एक ब्लॉगर ने अनुमान लगाया कि कमिंसकी की बग वास्तव में तीन साल पहले खुलासा किया गया था। कमांडकी, जो सुरक्षा विक्रेता आईओएक्टिव के साथ प्रवेश परीक्षा के निदेशक हैं, ने कहा कि उन्होंने कुछ नकारात्मक प्रतिक्रियाओं से "विचित्र रूप से आश्चर्यचकित" किया था, लेकिन यह हैकर समुदाय के लिए इस तरह के संदेह महत्वपूर्ण था। उन्होंने स्वीकार किया, "मैं नियम तोड़ रहा हूं।" "हमले का पता लगाने के लिए सलाहकार में पर्याप्त जानकारी नहीं है और मैं इसके बारे में आह्वान कर रहा हूँ।"

डीएनएस विशेषज्ञ पॉल विक्सि के अनुसार, कुछ लोगों में से एक, जिसे कामिंस्की की खोज पर विस्तृत ब्रीफिंग दिया गया है, यह है तीन साल पहले सैन्स द्वारा रिपोर्ट की गई समस्या से अलग। इंटरनेट पर सबसे व्यापक रूप से इस्तेमाल किए गए DNS सर्वर सॉफ़्टवेयर के निर्माता, इंटरनेट सिस्टम कंसोर्टियम के अध्यक्ष विक्सी ने कहा, "कामिंस्की की दोष एक ही क्षेत्र में है," यह एक अलग समस्या है।

मुद्दा जरूरी है और तुरंत पैच किया जाना चाहिए, डेविड डेगन, जॉर्जिया टेक में एक डीएनएस शोधकर्ता ने कहा था, जिसे बग पर भी बताया गया था। ई-मेल साक्षात्कार में उन्होंने कहा, "विरल विवरण के साथ, कुछ लोगों ने सवाल किया है कि क्या दान कामिंस्की ने डीएनएस हमलों में पुराने कामों का पुनर्प्रेषण किया था।" "यह सोचने योग्य नहीं है कि दुनिया के डीएनएस विक्रेताओं ने समझौता किया और बिना किसी कारण के एक साथ घोषणा की।"

दिन के अंत तक, कामिंसकी ने अपने सबसे मुखर आलोचक, मटासनो के पट्टेक को भी बदल दिया था, जिन्होंने कामिंसकी ने टेलीफोन पर अपने शोध के विवरण के बारे में विस्तार से बताया था। "उसके पास माल है," पैटेक ने कहा कि बाद में। जबकि पिछला डीएनएस अनुसंधान पर हमले बढ़ता है, यह कैश विषाक्तता के हमलों को खींचने में बहुत आसान बनाता है। "उन्होंने इसे बहुत कुछ ले लिया है और उस हद तक क्लिक करें जिसे हम नहीं देख पाए।"

कमिंस्की के बाकी आलोचकों को उनकी अगस्त 7 तक इंतजार करना पड़ेगा, हालांकि, सुनिश्चित करने के लिए पता करने के लिए।

सुरक्षा शोधकर्ता ने कहा कि उन्हें उम्मीद है कि वे अपनी बात के लिए दिखाएंगे। "अगर मेरे पास शोषण नहीं है," उन्होंने कहा। "मैं क्रोध और अविश्वास के हर एक टुकड़े के हकदार हूं।"