Chyba v srdci internetu

Dan Kaminsky, netypicky, na začátku tohoto roku nehledal chyby, když narazil na chybu v jádru internetu. Bezpečnostní výzkumník využil své znalosti internetové infrastruktury, aby přišel s lepším způsobem streamování videí uživatelům. Kaminsky se specializuje na internetový systém doménových jmen (DNS), protokol odpovědný za porovnávání adres URL webových stránek s číselnými adresami serverů, které je hostí. Stejný obsah může být hostován na více serverech s několika adresami a Kaminsky si myslel, že má skvělý trik, jak nasměrovat uživatele na servery, které nejlépe zvládnou jejich požadavky v daném okamžiku.





Vidět potíže: Bezpečnostní výzkumník Dan Kaminsky poprvé všiml základní zranitelnosti na internetu loni v zimě.

Normálně je DNS spolehlivý, ale ne svižný. Když si počítač – řekněme server, který pomáhá směrovat provoz v síti Comcast – vyžádá číselnou adresu spojenou s danou adresou URL, uloží odpověď po dobu známou jako čas života, což může být od sekund do dnů. To pomáhá snížit počet požadavků serveru. Kaminskyho myšlenkou bylo obejít čas života a umožnit serveru získat novou odpověď pokaždé, když chtěl znát adresu webu. V důsledku toho by byl provoz v síti Comcast v každém okamžiku odesílán na optimální adresu, nikoli na jakoukoli adresu, která již byla uložena. Kaminsky si byl jistý, že strategie může výrazně urychlit distribuci obsahu.

Teprve později, poté, co si o tom nápadu nezávazně promluvil s přítelem, si Kaminsky uvědomil, že jeho trik může zcela narušit bezpečnost systému doménových jmen, a tedy i internetu samotného. Ukazuje se, že čas žít byl jádrem zabezpečení DNS; schopnost jej obejít umožnila širokou škálu útoků. Kaminsky napsal malý kód, aby se ujistil, že situace je tak špatná, jak si myslel. Jakmile jsem viděl, že to funguje, spadl mi žaludek, říká. Říkal jsem si: ‚Co s tím sakra budu dělat? To ovlivňuje všechno.‘



Kaminského techniku ​​lze použít k nasměrování uživatelů webu na jakoukoli webovou stránku, kterou si útočník vybral. Nejzřejmější použití je posílat lidi na phishingové stránky (weby navržené tak, aby přiměly lidi k zadání bankovních hesel a dalších osobních informací, což útočníkovi umožní ukrást jejich identitu) nebo na jiné falešné verze webových stránek. Ale nebezpečí je ještě horší: protokoly, jako jsou ty, které se používají k doručování e-mailů nebo k zabezpečené komunikaci přes internet, nakonec spoléhají na DNS. Kreativní útočník by mohl využít techniku ​​Kaminsky k zachycení citlivých e-mailů nebo k vytvoření podvržených verzí certifikátů, které zajišťují bezpečné transakce mezi uživateli a bankovními weby. Každý den najdu další domino, říká Kaminsky. Další věc padá, pokud je DNS špatný. … Myslím doslova, rozhlédnete se kolem sebe a uvidíte cokoli, co používá síť – cokoli, co používá síť – a pravděpodobně to používá DNS.

Multimédia

  • Prohlédněte si nástin útoku s otravou mezipamětí.

Kaminsky zavolal Paulu Vixiemu, prezidentovi Internet Systems Consortium, neziskové korporace, která podporuje několik aspektů internetové infrastruktury, včetně softwaru nejběžněji používaného v systému doménových jmen. Obvykle, pokud chce někdo nahlásit problém, očekáváte, že mu bude trvat poměrně dlouho, než to vysvětlí – možná tabule, možná jeden nebo dva dokumenty ve Wordu, říká Vixie. V tomto případě mu trvalo 20 sekund, než vysvětlil problém, a dalších 20 sekund, než odpověděl na mé námitky. Potom jsem řekl: ‚Dane, mluvím s tebou přes nezabezpečený mobilní telefon. Prosím, už nikdy nikomu neříkej, co jsi mi právě řekl přes nezabezpečený mobilní telefon.“

Snad nejděsivější bylo, že protože zranitelnost nebyla umístěna v žádném konkrétním hardwaru nebo softwaru, ale v samotném návrhu protokolu DNS, nebylo jasné, jak ji opravit. Kaminsky a Vixie tajně shromáždili některé z nejlepších odborníků na DNS na světě: lidi z americké vlády a vysoce postavené inženýry z hlavních výrobců softwaru a hardwaru DNS – společností, mezi které patří Cisco a Microsoft. V březnu uspořádali schůzku v kampusu Microsoftu v Redmondu ve státě WA. Kaminsky říká, že opatření byla tak tajná a uspěchaná, že v letadlech Microsoftu byli lidé, kteří ani nevěděli, o jakou chybu jde.



Jednou v Redmondu se skupina pokusila určit rozsah chyby a vyřešit možnou opravu. Dohodli se na dočasném opatření, které vyřeší většinu problémů, bude relativně snadné jej nasadit a zakryje přesnou povahu chyby. Protože útočníci běžně identifikují bezpečnostní díry podle záplat reverzního inženýrství, které je mají opravit, rozhodla se skupina, že všichni její členové musí záplatu vydat současně (datum vydání by se ukázalo být 8. července). Kaminsky také požádal bezpečnostní výzkumníky, aby veřejně nespekulovali o podrobnostech chyby po dobu 30 dnů po vydání opravy, ve snaze poskytnout společnostem dostatek času na zabezpečení svých serverů.

6. srpna na konferenci Black Hat, každoročním setkání světových odborníků na internetovou bezpečnost, Kaminsky veřejně odhalí, v čem spočívá chyba a jak ji lze zneužít.

Ptát se na potíže
Kaminsky ve skutečnosti neobjevil nový útok. Místo toho našel důmyslný způsob, jak vdechnout život velmi starému. Ve skutečnosti základní chyba, na kterou je jeho útok zaměřen, předchází samotný internet.



Základ DNS položil v roce 1983 Paul Mockapetris, tehdy na University of Southern California, v dobách ARPAnet, výzkumného projektu amerického ministerstva obrany, který propojil počítače na malém počtu univerzit a výzkumných institucí a nakonec vedl k internetu. . Systém je navržen tak, aby fungoval jako služba 411 telefonní společnosti: po zadání jména vyhledá čísla, která povedou k nositeli tohoto jména. DNS se stal nezbytným, protože ARPAnet přesáhl schopnost jednotlivce sledovat číselné adresy v síti. Mockapetris, který je nyní předsedou a hlavním vědeckým pracovníkem společnosti Nominum, poskytovatele infrastrukturního softwaru se sídlem v Redwoodu v Kalifornii, navrhl DNS jako hierarchii. Když někdo zadá adresu URL webové stránky do prohlížeče nebo klikne na hypertextový odkaz, požadavek přejde na jmenný server spravovaný poskytovatelem internetových služeb (ISP) uživatele. Server poskytovatele internetových služeb ukládá číselné adresy adres URL, které často zpracovává – alespoň dokud nevyprší jejich čas. Pokud však adresu nenajde, dotáže se jednoho ze 13 kořenových serverů DNS, který přesměruje požadavek na jmenný server odpovědný za jednu z domén nejvyšší úrovně, jako je .com nebo .edu. Tento server předá požadavek na server specifický pro jeden název domény, jako je google.com nebo mit.edu. Přeposílání pokračuje přes servery se stále specifičtějšími odpovědnostmi – mail.google.com nebo libraries.mit.edu – dokud požadavek nedorazí na server, který může buď poskytnout požadovanou číselnou adresu, nebo odpovědět, že žádná taková adresa neexistuje. Jak Internet dospíval, bylo jasné, že DNS není dostatečně zabezpečené. Proces předávání požadavku z jednoho serveru na druhý dává útočníkům mnoho příležitostí zasáhnout falešnými odpověďmi a systém neměl žádné záruky, které by zajistily, že jmenný server odpovídá na požadavek důvěryhodný. Již v roce 1989, říká Mockapetris, došlo k případům otravy mezipaměti, kdy byl jmenný server oklamán, aby uložil nepravdivé informace o číselné adrese spojené s webovou stránkou.
V devadesátých letech byla práce traviče poměrně snadná. Jmenné servery nižší úrovně jsou obecně spravovány soukromými subjekty: Amazon například kontroluje adresy dodávané jmenným serverem amazon.com. Pokud názvový server nízké úrovně nemůže najít požadovanou adresu, odkáže žadatele na jiný názvový server nebo mu sdělí, že stránka neexistuje. Ale v 90. letech mohl server nízké úrovně poskytnout žadateli adresu serveru nejvyšší úrovně. Aby útočník otrávil cache, musel tyto informace jednoduše zfalšovat. Pokud by útočník oklamal, řekněme, jmenný server poskytovatele internetových služeb, aby uložil špatnou adresu serveru .com, mohl by unést většinu provozu putujícího přes síť poskytovatele internetových služeb. Mockapetris říká, že do DNS bylo následně přidáno několik funkcí pro ochranu systému. Požadující servery přestaly přijímat číselné adresy vyšší úrovně z názvových serverů nižší úrovně. Útočníci ale našli způsob, jak toto omezení obejít. Stejně jako dříve odkázali žadatele zpět, řekněme, na server .com. Nyní však žadatel musel vyhledat adresu serveru .com sám. Vyžádalo by si to adresu a útočník by se snažil odpovědět falešnou odpovědí dříve, než by přišla skutečná odpověď. Na ochranu proti této strategii byla také přidána ad hoc bezpečnostní opatření. Nyní každý požadavek na DNS server nese náhodně vygenerované ID transakce, jedno z 65 000 možných čísel, které musí obsahovat i odpověď. Útočník, který se snaží porazit legitimní odpověď, by také musel uhodnout správné ID transakce. Bohužel počítač dokáže vygenerovat tolik falešných odpovědí tak rychle, že pokud má dostatek šancí, musí najít správné ID. Čas žít, původně zamýšlený k tomu, aby jmenné servery nebyly přetěžovány příliš mnoha požadavky, se tak stal další bezpečnostní funkcí. Vzhledem k tomu, že žádající server bude ukládat odpověď po určitou dobu, má útočník jen několik šancí pokusit se o padělání. Ve většině případů, když server potřebuje adresu .com, konzultuje svou mezipaměť místo kontroly u serveru .com. Kaminsky našel způsob, jak obejít tyto ad hoc bezpečnostní prvky – nejdůležitější je čas žít. Díky tomu byl systém stejně zranitelný, jako když byla poprvé objevena otrava mezipamětí. Pomocí Kaminského techniky získá útočník téměř nekonečný počet šancí dodat padělek. Řekněme, že útočník chce unést všechny e-maily, které sociální síť, jako je Facebook nebo MySpace, posílá na účty Gmail. Zaregistruje si účet na sociální síti, a když je vyzván k zadání e-mailové adresy, poskytne adresu, která ukazuje na doménu, kterou ovládá. Začne se přihlašovat na sociální síť, ale tvrdí, že zapomněl heslo. Když se systém pokusí odeslat nové heslo, provede vyhledání DNS, které vede k doméně útočníka. Server útočníka ale tvrdí, že požadovaná adresa je neplatná. V tomto okamžiku by útočník mohl odkázat žadatele na jmenné servery google.com a závodit o poskytnutí falešné odpovědi. Ale pak by měl jen jednu šanci prolomit ID transakce. Místo toho odkáže žadatele na neexistující domény 1.google.com, pak 2.google.com, pak 3.google.com a tak dále, přičemž pro každou z nich odešle záplavu falešných odpovědí. Pokaždé bude žádající server konzultovat jmenné servery Google, nikoli svou mezipaměť, protože nebude mít uložené adresy pro žádnou z falešných adres URL. Útok zcela obchází limity stanovené dobou života. Jeden z útočníkových padělků musí projít skrz. Pak je jednoduché nasměrovat vše, co žádající server zamýšlí pro Google, na vlastní servery útočníka, protože útočník má zřejmě oprávnění pro adresy URL končící na google.com. Kaminsky říká, že byl schopen provést testovací útoky za pouhých 10 sekund.

Útok otravy mezipamětí
Otrava mezipaměti způsobí, že žádající server uloží nepravdivé informace o číselné adrese spojené s webovou stránkou. Základní verze útoku – bez některých sofistikovanějších technik, které Kaminsky používá – je uvedena níže. 1. Nejprve útočník vyláká server oběti, aby kontaktoval doménu, kterou útočník ovládá. Útočník by mohl například tvrdit, že zapomněl heslo, a vyzvat oběť, aby odpověděla e-mailem.
2. Oběť provede vyhledání DNS, aby zjistila, kam má e-mail odeslat. Názvový server útočníka však odkazuje oběť na jiný server, jako je server example.com. Vzhledem k tomu, že útočník ví, že oběť nyní zahájí vyhledávání DNS pro tento server, má příležitost pokusit se otrávit jeho mezipaměť. 3. Útočník se pokouší poskytnout falešnou odpověď dříve, než legitimní server může poskytnout tu skutečnou. Pokud útočník uhodne správné ID číslo, oběť přijme odpověď na uhodnutí, což otráví cache.
Ve tmě
8. července uspořádal Kaminsky slíbenou tiskovou konferenci, kde oznámil vydání opravy a požádal ostatní výzkumníky, aby o chybě nespekulovali. Dodavatelé hardwaru a softwaru se shodli na opravě, která nutí útočníka uhodnout delší ID transakce. Kaminsky říká, že před patchem musel útočník udělat desítky tisíc pokusů, aby úspěšně otrávil cache. Po patchi by to muselo vydělávat miliardy. Zprávy o chybě se objevily v New York Times, na webových stránkách BBC a téměř ve všech technických publikacích. Systémoví administrátoři se snažili začlenit záplatu do svých systémů dříve, než na ně zaútočí. Ale protože Kaminsky nedokázal poskytnout podrobnosti o chybě, někteří členové bezpečnostní komunity byli skeptičtí. Thomas Ptacek, výzkumník v Matasano Security, na Twitteru napsal: Řeknu to zde jako první: pochybuji, že toto oznámení o zabezpečení DNS má skutečně nějakou váhu. Dino Dai Zovi, bezpečnostní výzkumník nejlépe známý pro hledání způsobů, jak doručit malware do plně opraveného Macbooku Pro, říká, že jsem byl rozhodně skeptický k povaze zranitelnosti, zejména kvůli množství humbuku a pozornosti oproti nízkému množství detailů. . Kdykoli něco takového vidím, okamžitě si nasazuji svůj skeptický klobouk, protože to vypadá spíše jako někdo, kdo má vlastní zájem, než že by se někdo snažil něco napravit. Dai Zovi a další poznamenali, že načasování bylo perfektní pro propagaci vzhledu Kaminsky's Black Hat, a naježili se na žádost, aby se zdrželi spekulací. Nedostatek informací byl obzvláště kontroverzní, protože správci systému jsou často zodpovědní za vyhodnocování záplat a rozhodování, zda je použít, přičemž zvažují nebezpečí bezpečnostní chyby a narušení, které záplata způsobí. Vzhledem k tomu, že DNS je ústředním prvkem provozu jakékoli organizace závislé na internetu, není jeho změna něco, co by se dělalo lehce. Aby toho nebylo málo, tato oprava nefungovala správně s určitými typy podnikových firewallů. Mnoho IT profesionálů vyjádřilo frustraci nad nedostatkem podrobností a prohlásilo, že nebyli schopni správně vyhodnotit opravu, když toho zůstalo tolik skryté. Kaminsky, znepokojený skepticismem ohledně svých tvrzení, uspořádal konferenční hovor s Ptacekem a Dai Zovi v naději, že jim ukáže, jak nebezpečná je chyba. Oba vyšli z hovoru přeměněni. Ale ačkoli Dai Zovi poznamenává, že se mnohé změnilo od doby, kdy výrobci hardwaru a softwaru řešili nedostatky tím, že jednoduše popřeli, že by bezpečnostní výzkumníci identifikovali skutečné problémy, také říká: Nevíme, co dělat, když jsou zranitelnosti opravdu velké. systémy jako DNS. Výzkumníci čelí dilematu, říká: potřebují vysvětlit nedostatky, aby přesvědčili ostatní o jejich závažnosti, ale zranitelnost, jako je ta, kterou našel Kaminsky, je tak závažná, že odhalení jejích podrobností by mohlo ohrozit veřejnost. Halvar Flake, německý bezpečnostní výzkumník, byl jedním z pozorovatelů, který se domníval, že mlčení je nebezpečnější alternativou. Říká, že je potřeba jen veřejná spekulace, která lidem pomůže pochopit, co by je mohlo zasáhnout. Flake si přečetl několik základních materiálů, včetně příspěvku na německé Wikipedii o DNS, a napsal příspěvek na blog o tom, co si myslel, že Kaminsky mohl najít. Prohlásil, že jeho odhad byl pravděpodobně nesprávný, a pozval další výzkumníky, aby ho opravili. Nějak se uprostřed rozruchu, který jeho příspěvek vyvolal v bezpečnostní komunitě, objevilo podrobné vysvětlení chyby na stránce hostované Ptáčkovým zaměstnavatelem, Matasano Security. Vysvětlení bylo rychle odstraněno, ale ne dříve, než se rozšířilo po internetu. Nastal chaos. Kaminsky zveřejnil na Twitteru, chyba DNS je veřejná. Potřebujete opravit nebo přejít na [webové] OpenDNS, HNED TEĎ. Během několika dní Metasploit, projekt počítačové bezpečnosti, který navrhuje vzorové útoky na pomoc při testování, vydal dva moduly využívající Kaminského chybu. Krátce poté byl ve volné přírodě viděn jeden z prvních útoků založených na chybě DNS. Převzala některé servery AT&T, aby mohla prezentovat falešnou domovskou stránku Google, nabitou útočníkovými vlastními reklamami. Mimo soubory cookie
Třicet minut předtím, než Kaminsky nastoupil na pódium v ​​Black Hat, aby konečně odhalil podrobnosti o chybě, lidé začali zaplavovat taneční sál v Caesar’s Palace v Las Vegas. Řečník před Kaminským spěchal vše zabalit. Místa došla a lidé seděli se zkříženýma nohama na každém čtverečním centimetru koberce. Kaminského babička, která seděla v první řadě, upekla na akci 250 sušenek. Nikde jich nebylo dost. Kaminsky vyšel na pódium. Je tam spousta lidí, řekl. Sakra. Kaminsky je vysoký a jeho gesta jsou trochu neohrabaná. Na začátku srpna bylo podle něj chráněno více než 120 milionů širokopásmových zákazníků, protože poskytovatelé internetových služeb aplikovali záplaty. Sedmdesát procent společností žebříčku Fortune 500 opravilo své systémy a dalších 15 procent na tom pracovalo. Dodal však, že 30 až 40 procent jmenných serverů na internetu bylo stále neopravených a zranitelných vůči jeho 10sekundovému útoku otravy mezipamětí. Na jevišti přecházel mezi veselým popisem temných možností svého objevu a pokusy získat vážnost odpovídající jejich závažnosti. Mluvil 75 minut a viditelně zeslábl, když se zbavil tajemství za sedm měsíců. Když končil svůj projev, dav se k němu přihnal a reportér za reportérem ho odháněl. Dokonce i ti bezpečnostní experti, kteří souhlasili s tím, že zranitelnost je vážná, byli zaskočeni Kaminského dychtivým objetím pozornosti médií a jeho neúnavnou snahou zveřejnit chybu. Později téhož dne Kaminsky obdržel cenu Pwnie za nejvíce přehnanou chybu od skupiny bezpečnostních výzkumníků. (Slovo pwn, které se rýmuje s vlastním, je v internetovém slangu zcela převládající. Cena Kaminského má podtitul The Pwnie for pwning the media.) Dai Zovi, který cenu uváděl, se pokusil vyjmenovat publikace, které přinesly Kaminského příběh. Vzdal se a řekl: Co? nebyl jsi v?GQ! křičel někdo z publika. Kaminsky vystoupil na pódium a vyplivl dvě věty: Někteří lidé nacházejí brouky; někteří lidé opravují chyby. Jsem rád, že patřím do druhé kategorie. Otočil cenu – zlatého hračkářského poníka – za jeho zářivě růžové vlasy, prošel dlouhou uličkou tanečního sálu ven ze dveří. kdo to má na starosti?
V závislosti na vašem úhlu pohledu byl způsob, jakým Kaminsky zacházel s chybou DNS a její opravou, buď nebezpečným předváděním, které zbytečně upozorňovalo veřejnost na zranitelnost internetu, nebo – jak to vidí Kaminsky – mediálním hackem nezbytným k trénování pozornosti na nebezpečí chyby. Ať tak či onak, příběh poukazuje na znepokojivou absenci jakéhokoli procesu pro identifikaci a opravu kritických chyb na internetu. Protože je internet tak decentralizovaný, jednoduše neexistuje konkrétní osoba nebo organizace, která by měla na starosti řešení jeho problémů. A přestože je Kaminského chyba obzvláště závažná, odborníci tvrdí, že pravděpodobně není jediná v infrastruktuře internetu. Mnoho internetových protokolů nebylo navrženo pro použití, kterým se dnes používají; mnoho z jeho bezpečnostních prvků bylo upraveno a neřeší základní zranitelnosti. Z dlouhodobého hlediska, architektonicky, musíme přestat předpokládat, že síť je stejně přátelská, jak je, říká Kaminsky. Jsme prostě závislí na nezabezpečeném přenášení citlivých informací po internetu. Můžeme to udělat lépe. Na další bezpečnostní konferenci jen pár dní po Kaminského prezentaci na Black Hat přednesl tým výzkumníků přednášku, která ilustrovala vážné nedostatky v protokolu internetové směrovací hraniční brány. Stejně jako Kaminsky našli výzkumníci problémy se základním návrhem internetového protokolu. Stejně jako chyba DNS by tento problém mohl umožnit útočníkovi získat široký přístup k citlivému provozu odeslanému přes internet.
Mnoho odborníků tvrdí, že to, co se stalo s chybou DNS, představuje nejlepší možný scénář. Mischel Kwon, ředitel US-CERT, divize ministerstva pro vnitřní bezpečnost, která pomohla dostat zprávu o chybě DNS, doufá, že síť organizací, které v tomto případě spolupracovaly, učiní totéž, pokud se objeví další chyby. Ačkoli v soukromém sektoru neexistuje žádná hierarchie pravomocí, říká Kwon, mezi společnostmi a organizacemi existují silné vazby s pravomocí nasazovat záplaty. Říká, že je přesvědčena, že s ohledem na peníze a úsilí vynaložené na zlepšení bezpečnosti na internetu budou zastaralé protokoly aktualizovány. Ale tato důvěra není založena na dobře promyšlené strategii. Co kdyby Kaminsky neměl rozsáhlé kontakty v rámci bezpečnostní komunity, nebo, což je horší, nebyl odhodlán chybu napravit? Co když byl skutečným černým kloboukem zaměřeným na využití zranitelnosti, kterou objevil? Co když se jeho zdánlivě obratná manipulace s médii selhala a podrobnosti o chybě byly známy dříve, než byla záplata na místě? A co víc, dokonce i s ohledem na dobré úmysly výzkumníků, jako je Kaminsky, není oprava základních nedostatků na internetu snadná. Odborníci se shodují, že problém s DNS není výjimkou. Na stole je několik návrhů, jak to vyřešit spolehlivějšími prostředky než patch, většinou snížením důvěry, kterou žádající server přiznává jmennému serveru. Návrhy sahají od relativně jednoduchých oprav, jako je zahrnutí ještě více náhodných informací do požadavků na jmenné servery, až po přesun celého systému na sadu protokolů, které by jmenným serverům umožnily podepisovat své odpovědi kryptograficky. Kaminsky i Vixie mezitím říkají, že útočníci začali využívat chyby DNS a očekávají, že přijdou další problémy. Kaminsky poznamenává, že chyba se stává zvláště nebezpečnou, když je zneužívána spolu s dalšími zranitelnostmi. Jedna taková kombinace by podle něj umožnila útočníkovi převzít automatické aktualizace, které dodavatel softwaru posílá svým zákazníkům, a nahradit je malwarem. Kaminsky říká, že strávil posledních několik měsíců telefonováním se společnostmi, které by mohly být atraktivním cílem pro tento druh útoku, jako jsou certifikační autority, sociální sítě a poskytovatelé internetových služeb, a snažil se je přesvědčit, aby co nejdříve provedli opravu. Děsivá věc, říká Dai Zovi, je, jak křehký [internet] je. … A co s tím budeme dělat? Erica Naone je asistentkou redaktora ve společnosti Recenze technologie.

skrýt