Perbaikan Bug Internet Memunculkan Backlash Dari Peretas

Peretas adalah kelompok skeptis, tapi itu tidak mengganggu Dan Kaminsky, yang mendapat banyak kiriman dari rekan-rekannya di komunitas riset keamanan setelah mengklaim telah menemukan bug penting dalam infrastruktur Internet.

Kaminsky menjadi berita utama pada hari Selasa oleh berbicara tentang cacat utama dalam DNS (Domain Name System), digunakan untuk menghubungkan komputer satu sama lain di Internet. Pada akhir Maret ia mengelompokkan 16 perusahaan yang membuat perangkat lunak DNS - perusahaan seperti Microsoft, Cisco, dan Sun Microsystem - dan membujuk mereka untuk memperbaiki masalah dan bersama-sama merilis patch untuk itu.

Tetapi beberapa rekan Kaminsky tidak terkesan. Itu karena ia melanggar salah satu aturan utama pengungkapan: mempublikasikan suatu kelemahan tanpa memberikan rincian teknis untuk memverifikasi temuannya. Pada hari Rabu, dia mengambil langkah lebih jauh di blognya, meminta para peretas untuk menghindari meneliti masalah sampai bulan depan, ketika dia berencana untuk merilis lebih banyak informasi tentang hal itu di konferensi keamanan Black Hat.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan cadangan]

Cacat tampaknya menjadi masalah serius yang dapat dieksploitasi dalam apa yang disebut "serangan peracunan cache". Serangan ini meretas sistem DNS, menggunakannya untuk mengalihkan korban ke situs Web berbahaya tanpa sepengetahuan mereka. Mereka telah dikenal selama bertahun-tahun tetapi dapat sulit untuk dilakukan. Tapi Kaminsky mengklaim telah menemukan cara yang sangat efektif untuk meluncurkan serangan seperti itu, berkat kerentanan dalam desain protokol DNS itu sendiri.

Pada hari Selasa, bagaimanapun, Kaminsky menahan diri dari mengungkapkan rincian teknis dari temuannya.

Dia mengatakan dia ingin mengumumkan masalah ini kepada publik untuk menekan staf TI perusahaan dan penyedia layanan Internet untuk memperbarui perangkat lunak DNS mereka, sementara pada saat yang sama menjaga orang-orang jahat dalam kegelapan tentang sifat yang tepat dari masalah. Pengungkapan publik secara penuh atas rincian teknis akan membuat Internet tidak aman, katanya dalam sebuah wawancara, Rabu. "Sekarang, tidak ada satupun barang ini yang perlu dipublikasikan."

Dia dengan cepat menerima reaksi skeptis dari peneliti Matasano Security Thomas Ptacek, yang menulis blog bahwa serangan peracunan cache Kaminsky hanyalah salah satu dari banyak pengungkapan yang menggarisbawahi masalah terkenal yang sama. dengan DNS - bahwa itu tidak melakukan pekerjaan yang cukup baik dalam membuat nomor acak untuk membuat string "session ID" yang unik ketika berkomunikasi dengan komputer lain di Internet.

"Bug dalam DNS adalah memiliki 16-bit ID sesi, "katanya melalui e-mail Rabu. "Anda tidak dapat menerapkan aplikasi Web baru dengan ID sesi 128-bit. Kami sudah tahu tentang masalah mendasar itu sejak tahun 90-an.

" Di sinilah gempuran wawancara dan ledakan media untuk bug yang ditimpa lainnya. oleh Dan Kaminsky, "menulis poster yang letih (dan anonim) ke blog Matasano.

Selama di SANS Internet Storm Center, sebuah blog keamanan yang sangat dihormati, seorang blogger berspekulasi bahwa bug Kaminsky sebenarnya telah diungkapkan tiga tahun sebelumnya.

Kaminsky, yang merupakan direktur pengujian penetrasi dengan vendor keamanan IOActive, mengatakan bahwa dia "agak terkejut" oleh beberapa reaksi negatif, tetapi bahwa skeptisisme semacam ini sangat penting bagi komunitas hacker. "Aku melanggar peraturan," dia mengakui. "Tidak ada cukup informasi dalam penasehat untuk mengetahui serangan itu dan aku membual tentang itu."

Menurut pakar DNS Paul Vixie, salah satu dari sedikit orang yang telah diberi penjelasan singkat tentang penemuan Kaminsky, itu adalah berbeda dari masalah yang dilaporkan tiga tahun lalu oleh SANS. Sementara kelemahan Kaminsky berada di area yang sama, "itu masalah yang berbeda," kata Vixie, yang merupakan presiden dari Konsorsium Sistem Internet, pembuat perangkat lunak server DNS yang paling banyak digunakan di Internet.

Masalahnya mendesak dan harus segera ditambal, kata David Dagon, seorang peneliti DNS di Georgia Tech yang juga diberitahu tentang bug tersebut. "Dengan rincian yang tipis, beberapa telah mempertanyakan apakah Dan Kaminsky telah mengemas ulang pekerjaan yang lebih tua dalam serangan DNS," katanya dalam sebuah wawancara e-mail. "Tidaklah mungkin untuk berpikir bahwa vendor DNS dunia akan ditambal dan diumumkan secara bersamaan tanpa alasan."

Pada akhir hari, Kaminsky bahkan telah mengubah kritikusnya yang paling vokal, Matasano Ptacek, yang mengeluarkan retraksi di blog ini setelah Kaminsky menjelaskan rincian penelitiannya melalui telepon. "Dia punya barangnya," kata Ptacek sesudahnya. Sementara serangan itu dibangun di atas penelitian DNS sebelumnya, itu membuat serangan peracunan cache sangat mudah untuk dilakukan. "Dia cukup banyak untuk menunjukkan dan klik sampai batas yang kita tidak lihat datang."

Para kritikus tersisa Kaminsky akan harus menunggu sampai presentasi Black Hat 7 Agustus untuk mengetahui pasti, bagaimanapun.

Peneliti keamanan mengatakan dia berharap bahwa mereka muncul untuk ceramahnya. "Jika saya tidak memiliki exploit," katanya. "Aku berhak mendapatkan setiap amarah dan ketidakpercayaan."