Trūkums interneta sirdī

Dan Kaminsky, kas neraksturīgi, nemeklēja kļūdas šā gada sākumā, kad viņš atklāja trūkumu interneta kodolā. Drošības pētnieks izmantoja savas zināšanas par interneta infrastruktūru, lai izdomātu labāku veidu, kā straumēt video lietotājiem. Kaminska zināšanas ir saistītas ar interneta domēna nosaukumu sistēmu (DNS), protokolu, kas atbild par vietņu URL saskaņošanu ar to serveru ciparu adresēm, kas tās mitina. Vienu un to pašu saturu var mitināt vairāki serveri ar vairākām adresēm, un Kaminskis domāja, ka viņam ir lielisks triks, lai novirzītu lietotājus uz serveriem, kas jebkurā brīdī vislabāk spēj apstrādāt viņu pieprasījumus.





Redzot problēmas: Drošības pētnieks Dens Kaminskis pirmo reizi pamanīja pamata ievainojamību internetā pagājušajā ziemā.

Parasti DNS ir uzticams, bet ne veikls. Kad dators, piemēram, serveris, kas palīdz novirzīt trafiku Comcast tīklā, pieprasa skaitlisko adresi, kas saistīta ar doto URL, tas saglabā atbildi uz laika periodu, kas pazīstams kā laiks līdz dzīvošanai, kas var būt no dažām sekundēm līdz dienām. Tas palīdz samazināt servera veikto pieprasījumu skaitu. Kaminska ideja bija apiet dzīves laiku, ļaujot serverim saņemt jaunu atbildi katru reizi, kad tas vēlas uzzināt vietnes adresi. Līdz ar to Comcast tīkla trafika katru brīdi tiks nosūtīta uz optimālo adresi, nevis uz jebkuru jau saglabāto adresi. Kaminskis bija pārliecināts, ka stratēģija varētu ievērojami paātrināt satura izplatīšanu.

Tikai vēlāk, nejauši runājot par šo ideju ar draugu, Kaminskis saprata, ka viņa triks var pilnībā salauzt domēna vārdu sistēmas un līdz ar to arī paša interneta drošību. Laiks dzīvot, izrādās, bija DNS drošības pamatā; spēja to apiet ļāva veikt dažādus uzbrukumus. Kaminskis uzrakstīja nelielu kodu, lai pārliecinātos, ka situācija ir tik slikta, kā viņš domāja. Kad es redzēju, ka tas darbojas, mans vēders nokrita, viņš saka. Es domāju: 'Ko, pie velna, es ar to darīšu?' Tas ietekmē visu.



Kaminska paņēmienu var izmantot, lai tīmekļa sērfotājus novirzītu uz jebkuru uzbrucēja izvēlētu Web lapu. Acīmredzamākais lietojums ir cilvēku sūtīšana uz pikšķerēšanas vietnēm (vietnēm, kas paredzētas, lai krāptu cilvēkus ievadīt bankas paroles un citu personisku informāciju, ļaujot uzbrucējam nozagt viņu identitāti) vai citām viltotām tīmekļa lapu versijām. Taču briesmas ir vēl lielākas: tādi protokoli kā tie, ko izmanto e-pasta piegādei vai drošai saziņai internetā, galu galā paļaujas uz DNS. Radošs uzbrucējs var izmantot Kaminska paņēmienu, lai pārtvertu sensitīvus e-pastus vai izveidotu viltotas sertifikātu versijas, kas nodrošina drošus darījumus starp lietotājiem un banku vietnēm. Katru dienu es atrodu citu domino, Kaminskis saka. Cita lieta apgāžas, ja DNS ir slikta. … Es domāju burtiski, ka jūs skatāties apkārt un redzat jebko, kas izmanto tīklu — jebko, kas izmanto tīklu — un, iespējams, tas izmanto DNS.

Multivide

  • Skatiet kešatmiņas saindēšanās uzbrukuma izklāstu.

Kaminskis piezvanīja Polam Viksijam, Internet Systems Consortium prezidentam, bezpeļņas korporācijai, kas atbalsta vairākus interneta infrastruktūras aspektus, tostarp domēna nosaukumu sistēmā visbiežāk izmantoto programmatūru. Parasti, ja kāds vēlas ziņot par problēmu, jūs domājat, ka paies diezgan daudz laika, lai to izskaidrotu — varbūt tāfele, varbūt Word dokuments vai divi, saka Viksija. Šajā gadījumā viņam vajadzēja 20 sekundes, lai izskaidrotu problēmu, un vēl 20 sekundes, lai viņš atbildētu uz maniem iebildumiem. Pēc tam es teicu: Den, es runāju ar tevi pa nedrošu mobilo tālruni. Lūdzu, vairs nekad nevienam nesakiet to, ko tikko man teicāt, izmantojot nedrošo mobilo tālruni.

Iespējams, visbiedējošākais bija tas, ka, tā kā ievainojamība nebija nevienā konkrētā aparatūrā vai programmatūrā, bet gan pašā DNS protokola dizainā, nebija skaidrs, kā to novērst. Slepenībā Kaminskis un Viksija pulcēja dažus no labākajiem DNS ekspertiem pasaulē: cilvēkus no ASV valdības un augsta līmeņa inženierus no galvenajiem DNS programmatūras un aparatūras ražotājiem, tostarp Cisco un Microsoft. Viņi sarunāja tikšanos martā Microsoft universitātes pilsētiņā Redmondā, Vašingtonā. Vienošanās bija tik slepena un sasteigta, saka Kaminskis, ka uz Microsoft lidmašīnās bija cilvēki, kuri pat nezināja, kas par kļūdu.



Redmondā grupa mēģināja noteikt defekta apmēru un noteikt iespējamo labojumu. Viņi izvēlējās pārtraukuma pasākumu, kas atrisināja lielāko daļu problēmu, būtu salīdzinoši viegli izvietojams un maskētu precīzu defekta būtību. Tā kā uzbrucēji parasti identificē drošības caurumus, izmantojot apgrieztās inženierijas ielāpus, kuru mērķis ir tos novērst, grupa nolēma, ka visiem tās dalībniekiem ir jāatbrīvo ielāps vienlaikus (izlaišanas datums būtu 8. jūlijs). Kaminskis arī lūdza drošības pētniekus 30 dienas pēc ielāpa izlaišanas publiski nespēlēt par defekta detaļām, cenšoties dot uzņēmumiem pietiekami daudz laika, lai nodrošinātu savu serveru drošību.

6. augustā konferencē Black Hat, kas ir ikgadējā pasaules interneta drošības ekspertu sanāksme, Kaminskis publiski atklās, kāds ir trūkums un kā to varētu izmantot.

Lūdzot nepatikšanas
Kaminskis jaunu uzbrukumu īsti nav atklājis. Tā vietā viņš ir atradis ģeniālu veidu, kā iedvest dzīvību ļoti vecam. Patiešām, viņa uzbrukuma galvenais trūkums bija pirms paša interneta.



DNS pamatus 1983. gadā ielika Pols Mockapetris, kas toreiz strādāja Dienvidkalifornijas Universitātē, ARPAnet laikā, ASV Aizsardzības departamenta pētniecības projektā, kas savienoja datorus nelielā skaitā universitāšu un pētniecības iestāžu un galu galā noveda pie interneta. . Sistēma ir izstrādāta tā, lai tā darbotos kā telefona kompānijas 411 pakalpojums: ja tiek dots nosaukums, tā meklē numurus, kas ved uz šī vārda nesēju. DNS kļuva nepieciešams, jo ARPAnet pieauga tālāk par indivīda spēju sekot līdzi skaitliskajām adresēm tīklā. Mockapetris, kurš tagad ir Nominum priekšsēdētājs un galvenais zinātnieks, infrastruktūras programmatūras nodrošinātājs Redvudā, Kalifornijā, izstrādāja DNS kā hierarhiju. Kad kāds pārlūkprogrammā ieraksta Web lapas URL vai noklikšķina uz hipersaites, pieprasījums tiek nosūtīts uz vārdu serveri, kuru uztur lietotāja interneta pakalpojumu sniedzējs (ISP). ISP serveris saglabā to vietrāžu URL skaitliskās adreses, kuras tas bieži apstrādā — vismaz līdz beidzas to darbības laiks. Bet, ja tas nevar atrast adresi, tas vaicā vienu no 13 DNS saknes serveriem, kas novirza pieprasījumu uz nosaukumu serveri, kas atbild par vienu no augstākā līmeņa domēniem, piemēram, .com vai .edu. Šis serveris pārsūta pieprasījumu uz serveri, kas ir raksturīgs vienam domēna nosaukumam, piemēram, google.com vai mit.edu. Pārsūtīšana turpinās, izmantojot serverus ar arvien specifiskākiem pienākumiem — mail.google.com vai libraries.mit.edu — līdz pieprasījums sasniedz serveri, kas var norādīt pieprasīto skaitlisko adresi vai atbildēt, ka šādas adreses nav. Internetam attīstoties, kļuva skaidrs, ka DNS nav pietiekami drošs. Pieprasījuma pārsūtīšanas process no viena servera uz nākamo sniedz uzbrucējiem daudz iespēju iejaukties ar nepatiesām atbildēm, un sistēmai nebija nekādu aizsardzības līdzekļu, lai nodrošinātu, ka vārdu serveris, kas atbild uz pieprasījumu, ir uzticams. Mockapetris stāsta, ka jau 1989. gadā ir bijuši saindēšanās gadījumi ar kešatmiņu, kad vārdu serveris tika pievilts, lai saglabātu nepatiesu informāciju par ciparu adresi, kas saistīta ar vietni.
Deviņdesmitajos gados indētāja darbs bija salīdzinoši viegls. Zemākā līmeņa nosaukumu serverus parasti uztur privātas struktūras: piemēram, Amazon kontrolē adreses, ko nodrošina amazon.com vārdu serveris. Ja zema līmeņa nosaukumu serveris nevar atrast pieprasīto adresi, tas vai nu novirzīs pieprasītāju uz citu nosaukumu serveri, vai paziņos pieprasītājam, ka lapa neeksistē. Bet 90. gados zemā līmeņa serveris varēja arī sniegt pieprasītājam augstākā līmeņa servera adresi. Lai saindētu kešatmiņu, uzbrucējam šī informācija vienkārši bija jāfalsē. Ja uzbrucējs piemānīja, piemēram, ISP nosaukumu serveri, lai saglabātu nepareizu .com servera adresi, tas var nolaupīt lielāko daļu trafika, kas pārvietojas pa ISP tīklu. Mockapetris saka, ka pēc tam DNS tika pievienotas vairākas funkcijas, lai aizsargātu sistēmu. Pieprasīšanas serveri pārtrauca pieņemt augstāka līmeņa skaitliskās adreses no zemāka līmeņa nosaukumu serveriem. Taču uzbrucēji atrada veidu, kā apiet šo ierobežojumu. Tāpat kā iepriekš, viņi nosūtītu pieprasītāju atpakaļ, piemēram, uz .com serveri. Taču tagad pieprasītājam pašam bija jāatrod .com servera adrese. Tas pieprasītu adresi, un uzbrucējs censtos atbildēt ar viltotu atbildi, pirms saņemta īstā atbilde. Lai aizsargātu pret šo stratēģiju, tika pievienoti arī ad hoc drošības pasākumi. Tagad katram DNS serverim nosūtītajam pieprasījumam ir nejauši ģenerēts darījuma ID — viens no 65 000 iespējamiem numuriem, kuram arī ir jābūt ietvertam atbildē. Uzbrucējam, kurš cenšas pārspēt likumīgu atbildi, būtu arī jāuzmin pareizais darījuma ID. Diemžēl dators var ģenerēt tik daudz nepatiesu atbilžu tik ātri, ka, ja tam ir pietiekami daudz iespēju, tas noteikti atradīs pareizo ID. Tātad laiks dzīvot, kas sākotnēji bija paredzēts, lai vārdu serverus nepārslogotu pārāk daudz pieprasījumu, kļuva par vēl vienu drošības līdzekli. Tā kā pieprasījuma iesniedzējs serveris kādu laiku saglabās atbildi, uzbrucējam ir tikai dažas iespējas mēģināt viltot. Lielāko daļu laika, kad serverim ir nepieciešama .com adrese, tas pārbauda savu kešatmiņu, nevis pārbauda ar .com serveri. Kaminskis atrada veidu, kā apiet šos ad hoc drošības elementus — vissvarīgākais ir laiks dzīvot. Tas padarīja sistēmu tikpat neaizsargātu kā tad, kad pirmo reizi tika atklāta saindēšanās ar kešatmiņu. Izmantojot Kaminska paņēmienu, uzbrucējs iegūst gandrīz bezgalīgi daudz iespēju piegādāt viltojumu. Pieņemsim, ka uzbrucējs vēlas nolaupīt visus e-pasta ziņojumus, ko sociālā tīkla vietne, piemēram, Facebook vai MySpace, nosūta uz Gmail kontiem. Viņš reģistrējas kontam sociālajā tīklā un, kad viņam tiek prasīts ievadīt e-pasta adresi, viņš nosūta tādu, kas norāda uz viņa kontrolēto domēnu. Viņš sāk pieteikties sociālajā tīklā, bet apgalvo, ka ir aizmirsis savu paroli. Kad sistēma mēģina nosūtīt jaunu paroli, tā veic DNS meklēšanu, kas ved uz uzbrucēja domēnu. Taču uzbrucēja serveris apgalvo, ka pieprasītā adrese nav derīga. Šajā brīdī uzbrucējs var novirzīt pieprasītāju uz google.com nosaukumu serveriem un censties sniegt viltotu atbildi. Bet tad viņam būtu tikai viena iespēja uzlauzt darījuma ID. Tā vietā viņš novirza pieprasītāju uz neesošiem domēniem 1.google.com, pēc tam 2.google.com, pēc tam 3.google.com un tā tālāk, nosūtot neīstu atbilžu plūdus par katru. Katru reizi pieprasījuma iesniedzējs serveris konsultēsies ar Google vārdu serveriem, nevis ar kešatmiņu, jo tam nebūs saglabātas adreses nevienam neīstajam URL. Uzbrukums pilnībā apiet ierobežojumus, ko nosaka dzīves laiks. Viens no uzbrucēja viltojumiem noteikti tiks cauri. Tad viss, ko pieprasījuma iesniedzējs serveris ir iecerējis Google, ir vienkārši novirzīt uz paša uzbrucēja serveriem, jo ​​šķiet, ka uzbrucējam ir tiesības izmantot URL, kas beidzas ar google.com. Kaminskis saka, ka viņš spēja veikt testa uzbrukumus tikai 10 sekundēs.

Kešatmiņas saindēšanās uzbrukums
Saindēšanās ar kešatmiņu liek pieprasījuma iesniedzējam serverim saglabāt nepatiesu informāciju par skaitlisko adresi, kas saistīta ar vietni. Tālāk ir aprakstīta uzbrukuma pamata versija bez dažām sarežģītākām Kaminska izmantotajām metodēm. 1. Sākumā uzbrucējs mudina upura serveri sazināties ar domēnu, kuru uzbrucējs kontrolē. Uzbrucējs varēja, teiksim, apgalvot, ka ir aizmirsis paroli, mudinot upuri atbildēt pa e-pastu.
2. Upuris veic DNS meklēšanu, lai noskaidrotu, kur nosūtīt e-pastu. Taču uzbrucēja vārdu serveris novirza upuri uz citu serveri, piemēram, example.com. Tā kā uzbrucējs zina, ka upuris tagad sāks DNS meklēšanu šim serverim, viņam vai viņai ir iespēja mēģināt saindēt tā kešatmiņu. 3. Uzbrucējs mēģina sniegt nepatiesu atbildi, pirms likumīgais serveris var sniegt īsto atbildi. Ja uzbrucējs uzmin pareizo ID numuru, upuris pieņem uzminēto atbildi, kas saindē kešatmiņu.
Tumsā
8. jūlijā Kaminskis sarīkoja solīto preses konferenci, kurā paziņoja par plākstera izlaišanu un lūdza citus pētniekus nedomāt par šo trūkumu. Aparatūras un programmatūras pārdevēji bija apmetušies uz ielāpu, kas liek uzbrucējam uzminēt garāku darījuma ID. Kaminskis stāsta, ka pirms ielāpa uzbrucējam bija jāveic desmitiem tūkstošu mēģinājumu, lai veiksmīgi saindētu kešatmiņu. Pēc ielāpa tai būtu jāpelna miljardi. Ziņas par kļūdu parādījās New York Times, BBC tīmekļa vietnē un gandrīz katrā tehniskajā publikācijā. Sistēmu administratori centās ieviest ielāpu savās sistēmās, pirms tām varēja tikt uzbrukts. Bet, tā kā Kaminskis nespēja sniegt sīkāku informāciju par trūkumu, daži drošības kopienas locekļi bija skeptiski. Tomass Ptačeks, Matasano Security pētnieks, sociālajā tīklā Twitter ievietoja: Vispirms sakot: šaubos, vai šim DNS drošības paziņojumam patiešām ir kāda jēga. Dino Dai Zovi, drošības pētnieks, kas vislabāk pazīstams ar veidu, kā atrast veidus, kā piegādāt ļaunprātīgu programmatūru pilnībā izlabotajā Macbook Pro, saka: es noteikti biju skeptisks par ievainojamības būtību, jo īpaši ažiotāža un uzmanības daudzuma, salīdzinot ar mazo detaļu daudzumu. . Ikreiz, kad es kaut ko tādu redzu, es uzreiz uzvelku savu skeptiķa cepuri, jo tas izskatās pēc kāda personīga intereses, nevis pēc kāda, kas mēģina kaut ko salabot. Dai Zovi un citi atzīmēja, ka laiks bija ideāls, lai veicinātu Kaminska Melnās cepures izskatu, un viņi sarosījās pēc lūguma atturēties no spekulācijām. Informācijas trūkums bija īpaši pretrunīgs, jo sistēmu administratori bieži ir atbildīgi par ielāpu novērtēšanu un izlemšanu, vai tos lietot, izvērtējot drošības nepilnības bīstamību un traucējumus, ko radīs ielāps. Tā kā DNS ir galvenais jebkuras no interneta atkarīgas organizācijas darbībā, tā mainīšana nav viegla rīcība. Vēl ļaunāk šis ielāps nedarbojās pareizi ar noteiktiem korporatīvo ugunsmūru veidiem. Daudzi IT profesionāļi pauda neapmierinātību par detaļu trūkumu, sakot, ka viņi nav spējuši pareizi novērtēt ielāpu, kad tik daudz palika apslēpts. Noraizējies par skepsi par saviem apgalvojumiem, Kaminskis rīkoja konferences zvanu ar Ptačeku un Dai Zovi, cerot, ka viņi sapratīs, cik bīstams ir šis defekts. Abi izgāja no zvana pārvērsti. Lai gan Dai Zovi atzīmē, ka daudz kas ir mainījies kopš laika, kad aparatūras un programmatūras ražotāji risināja kļūdas, vienkārši noliedzot, ka drošības pētnieki būtu atklājuši reālas problēmas, viņš arī saka: Mēs nezinām, ko darīt, ja ievainojamības ir patiešām lielas. sistēmas, piemēram, DNS. Viņš saka, ka pētnieki saskaras ar dilemmu: viņiem ir jāpaskaidro trūkumi, lai pārliecinātu citus par to nopietnību, taču tāda ievainojamība kā Kaminska konstatētā ir tik nopietna, ka tās detaļu atklāšana var apdraudēt sabiedrību. Vācu drošības pētnieks Halvars Fleiks bija viens no novērotājiem, kurš uzskatīja, ka klusēšana ir kaitīgāka alternatīva. Viņš saka, ka ir vajadzīgas publiskas spekulācijas, lai palīdzētu cilvēkiem saprast, kas viņus var skart. Pārsla izlasīja dažus pamatmateriālus, tostarp vācu Wikipedia ierakstu par DNS, un uzrakstīja emuāra ierakstu par to, ko, viņaprāt, Kaminskis varētu būt atradis. Paziņojot, ka viņa minējums, iespējams, ir kļūdains, viņš aicināja citus pētniekus viņu izlabot. Kaut kādā veidā viņa amata izraisītās kņadas laikā drošības aprindās, vietnē, ko uzturēja Ptačeka darba devējs Matasano Security, parādījās detalizēts kļūdas skaidrojums. Paskaidrojums tika ātri noņemts, bet ne pirms tam, kad tas bija izplatījies internetā. Sākās haoss. Kaminskis ievietojis Twitter, DNS kļūda ir publiska. Jums ir jāveic ielāps vai jāpārslēdzas uz [Web-based] OpenDNS TŪLĪT. Dažu dienu laikā Metasploit, datoru drošības projekts, kas izstrādā uzbrukumu paraugus, lai palīdzētu testēšanai, izlaida divus moduļus, izmantojot Kaminska trūkumu. Neilgi pēc tam savvaļā tika novērots viens no pirmajiem uzbrukumiem, kuru pamatā bija DNS kļūda. Tas pārņēma dažus AT&T serverus, lai parādītu viltotu Google mājaslapu, kurā ir ievietotas paša uzbrucēja reklāmas. Beigušies sīkfaili
Trīsdesmit minūtes pirms Kaminska uzkāpšanas uz Black Hat skatuves, lai beidzot atklātu nepilnības detaļas, cilvēki sāka pārpludināt balles zāli Cēzara pilī Lasvegasā. Runātājs, kurš bija pirms Kaminska, steidzās pabeigt lietas. Sēdekļi beidzās, un cilvēki sēdēja sakrustotām kājām uz katra paklāja kvadrātcollu. Kaminska vecmāmiņa, kas sēdēja pirmajā rindā, pasākumam bija izcepusi 250 cepumus. Nebija ne tuvu pietiekami. Kaminskis piegāja pie pjedestāla. Tur ir daudz cilvēku, viņš teica. Svētais sūds. Kaminskis ir garš, un viņa žesti ir nedaudz neveikli. Viņš sacīja, ka līdz augusta sākumam bija aizsargāti vairāk nekā 120 miljoni platjoslas klientu, jo interneta pakalpojumu sniedzēji izmantoja ielāpus. Septiņdesmit procenti Fortune 500 uzņēmumu bija labojuši savas sistēmas, un vēl 15 procenti strādāja pie tā. Tomēr viņš piebilda, ka 30 līdz 40 procenti nosaukumu serveru internetā joprojām nebija ielāpi un ir neaizsargāti pret viņa 10 sekunžu kešatmiņas saindēšanās uzbrukumu. Uz skatuves viņš mainījās starp priecīgu sava atklājuma tumšo iespēju aprakstu un mēģinājumiem iegūt nopietnību, kas atbilst to smagumam. Viņš runāja 75 minūtes, kļūstot manāmi vieglāks, atbrīvojoties no septiņu mēnešu noslēpumiem. Kad viņš beidza savu runu, pūlis pietuvojās viņam, un reportieris pēc reportiera viņu noslaucīja. Pat tos drošības ekspertus, kuri piekrita, ka ievainojamība ir nopietna, pārsteidza Kaminska dedzīgais plašsaziņas līdzekļu uzmanības apskāviens un viņa nerimstošie centieni publiskot šo trūkumu. Vēlāk tajā pašā dienā Kaminskis no drošības pētnieku grupas saņēma Pwnie balvu par visvairāk pārrunāto kļūdu. (Vārds pwn, kas rimo ar savējo, ir interneta slengs, kas nozīmē dominēt pilnībā. Kaminska balva ir ar apakšvirsrakstu The Pwnie par mediju pwning.) Dai Zovi, pasniedzot balvu, mēģināja uzskaitīt publikācijas, kurās bija publicēts Kaminska stāsts. Viņš padevās, sacīdams: ko vai tu nebiji? GQ! kāds kliedza no publikas. Kaminskis uzkāpa uz skatuves un izspļāva divus teikumus: Daži cilvēki atrod kļūdas; daži cilvēki izlabo kļūdas. Es priecājos, ka esmu otrajā kategorijā. Šūpodams balvu — zelta rotaļu poniju — aiz spilgti rozā matiem, viņš gāja pa balles zāles garo eju un ārā pa durvīm. Kurš ir atbildīgs?
Atkarībā no jūsu perspektīvas veids, kā Kaminskis apstrādāja DNS kļūdu un tā ielāpu, bija vai nu bīstams priekšstats, kas lieki pievērsa sabiedrības uzmanību interneta ievainojamībai, vai arī, kā uzskata Kaminskis, plašsaziņas līdzekļu uzlaušana, kas bija nepieciešama, lai apmācītu kļūdas briesmas. Jebkurā gadījumā stāsts norāda uz to, ka nav nekādu procesu kritisku interneta trūkumu noteikšanai un labošanai. Tā kā internets ir tik decentralizēts, vienkārši nav konkrētas personas vai organizācijas, kas būtu atbildīga par tā problēmu risināšanu. Un, lai gan Kaminska trūkums ir īpaši nopietns, eksperti saka, ka tas, iespējams, nav vienīgais interneta infrastruktūrā. Daudzi interneta protokoli nebija paredzēti izmantošanai, ko tie izmanto mūsdienās; daudzi no tā drošības elementiem tika izmantoti, un tie nenovērš pamatā esošās ievainojamības. Ilgtermiņā arhitektoniski mums ir jāpārtrauc pieņemt, ka tīkls ir tikpat draudzīgs, cik tas ir, saka Kaminskis. Mēs esam atkarīgi no sensitīvas informācijas nedrošas pārvietošanas internetā. Mēs varam labāk. Patiešām, citā drošības konferencē tikai dažas dienas pēc Kaminska prezentācijas Black Hat pētnieku komanda uzstājās ar runu, ilustrējot nopietnus trūkumus interneta maršrutēšanas robežas vārtejas protokolā. Tāpat kā Kaminskis, pētnieki bija atklājuši problēmas ar interneta protokola pamata dizainu. Tāpat kā DNS kļūda, problēma var ļaut uzbrucējam iegūt plašu piekļuvi sensitīvai trafikai, kas tiek nosūtīta pa internetu.
Daudzi eksperti saka, ka tas, kas notika ar DNS kļūdu, ir labākais scenārijs. Mišels Kvons, ASV Iekšzemes drošības departamenta nodaļas, kas palīdzēja atklāt informāciju par DNS kļūdu, direktors Mišels Kvons cer, ka organizāciju tīkls, kas sadarbojās šajā gadījumā, darīs to pašu, ja parādīsies citi trūkumi. Lai gan privātajā sektorā nav varas hierarhijas, Kvons saka, ka pastāv ciešas saiknes starp uzņēmumiem un organizācijām, kurām ir tiesības izvietot ielāpus. Viņa saka, ka ir pārliecināta, ka, ņemot vērā naudu un pūles, kas tiek ieguldītas drošības uzlabošanai internetā, novecojušie protokoli tiks atjaunināti. Bet šī pārliecība nav pamatota ar labi pārdomātu stratēģiju. Kā būtu, ja Kaminskim nebūtu bijuši plaši sakari drošības aprindās vai, vēl ļaunāk, viņš nebūtu apņēmies novērst trūkumus? Kā būtu, ja viņš būtu bijis īsts melns cepure, kas tiecas izmantot atklāto ievainojamību? Kā būtu, ja viņa šķietami prasmīgā manipulācija ar medijiem būtu devusi pretēju rezultātu un nepilnības detaļas būtu kļuvušas zināmas pirms ielāpa ievietošanas? Turklāt, pat ņemot vērā tādu pētnieku kā Kaminska labos nodomus, pamata trūkumu novēršana internetā nav vienkārša. Eksperti piekrīt, ka DNS problēma nav izņēmums. Tiek piedāvāti vairāki priekšlikumi, kā to atrisināt, izmantojot uzticamākus līdzekļus par ielāpu, galvenokārt samazinot uzticību, ko pieprasījuma iesniedzējs serveris piešķir vārdu serverim. Priekšlikumi svārstās no salīdzinoši vienkāršiem labojumiem, piemēram, vēl vairāk nejaušas informācijas iekļaušana pieprasījumu serveriem, līdz visas sistēmas pārvietošanai uz protokolu kopu, kas ļautu vārdu serveriem parakstīt atbildes kriptogrāfiski. Tikmēr gan Kaminskis, gan Viksija saka, ka uzbrucēji ir sākuši izmantot DNS trūkumu, un viņi sagaida, ka radīsies vēl lielākas problēmas. Kaminskis atzīmē, ka trūkums kļūst īpaši bīstams, ja to izmanto kopā ar citām ievainojamībām. Pēc viņa teiktā, viena šāda kombinācija ļautu uzbrucējam pārņemt automātiskos atjauninājumus, ko programmatūras pārdevējs sūta saviem klientiem, aizstājot tos ar ļaunprātīgu programmatūru. Kaminskis saka, ka pēdējos vairākus mēnešus ir pavadījis telefoniski ar uzņēmumiem, kas būtu pievilcīgi šāda veida uzbrukuma mērķi, piemēram, sertifikātu iestādēm, sociālajiem tīkliem un interneta pakalpojumu sniedzējiem, cenšoties pārliecināt tos pēc iespējas ātrāk veikt ielāpu. Dai Zovi saka, ka biedējošākais ir tas, cik trausls ir [internets]. … Un ko mēs ar to darīsim? Ērika Naone ir redaktora asistente uzņēmumā Tehnoloģiju apskats.

paslēpties