কামিনস্কি: DNS- র সাথে আক্রমণ করার অনেক উপায়

সেখানে ছিল 6 শনিবার ফিনিশের শংসাপত্র কর্তৃপক্ষের কাছ থেকে কল এবং নিরাপত্তা সম্প্রদায়ের তার সহকর্মীদের কাছ থেকে কিছু চমত্কার শব্দ, এমনকি ঘটনাক্রমে লন্ডিত ব্ল্যাক হ্যাটের উপস্থাপনা, কিন্তু সাম্প্রতিক স্মৃতিতে সবচেয়ে বেশি প্রচারিত ইন্টারনেটের ত্রুটিগুলির প্রতিক্রিয়া পরিচালনার পর ড্যান কামিনস্কি বলেন বুধবার তিনি আবারও এটি করতে চাইবেন।

গত কয়েক মাস ধরে কামিনস্কির পূর্ণ-সময়ের চাকরি কম্পিউটারের দ্বারা ব্যবহৃত DNS (ডোমেন নাম) সিস্টেমের ব্যাপক ফিক্সটি ঠিক করার জন্য সফ্টওয়্যার বিক্রেতাদের এবং ইন্টারনেট কোম্পানিগুলির সাথে কাজ করছে ইন্টারনেটে একে অপরের খোঁজ কমিনিস্কি প্রথমে 8 ই জুলাই এই সমস্যাটি প্রকাশ করেন, কর্পোরেট ব্যবহারকারীদের এবং ইন্টারনেট পরিষেবা সরবরাহকারীকে তাদের সফ্টওয়্যারটি যত তাড়াতাড়ি সম্ভব প্যাচ করার সতর্কতা প্রদান করেন।

বুধবার, তিনি ব্ল্যাক হ্যাট কনফারেন্সে একটি ভিড় সেশনের সময় এই বিষয়ে আরও বিস্তারিত জানালেন। ডিএনএস শোষণ করতে পারে যে হামলার dizzying অ্যারের Kaminsky এছাড়াও তিনি এই আক্রমণের সাথে আঘাত হতে পারে, যা সমালোচনামূলক ইন্টারনেট সেবা ঠিক করতে কিছু কাজ সম্পর্কে কথা বললাম।

[আরও পড়ুন: মিডিয়া স্ট্রিমিং এবং ব্যাকআপ জন্য সেরা NAS বক্স]

একটি সিরিজ শোষণ দ্বারা ডিএনএস প্রোটোকল কাজ করে যে বাগ, Kaminsky খুব দ্রুত তথ্য ভুল সার্ভার সঙ্গে DNS সার্ভার পূরণ করার একটি উপায় বের করেছেন। অপরাধীদের জাল ওয়েবসাইট থেকে শিকার পুনরুদ্ধারের জন্য এই কৌশলটি ব্যবহার করতে পারে, কিন্তু কামিনস্কির আলাপে তিনি আরও অনেক সম্ভাব্য ধরনের আক্রমণের কথা উল্লেখ করেছেন।

তিনি বর্ণনা করেছেন যে, ই-মেইল বার্তা, সফটওয়্যার আপডেট সিস্টেম বা এমনকি পাসওয়ার্ড আপোষের জন্য কীভাবে ত্রুটি ব্যবহার করা যেতে পারে জনপ্রিয় ওয়েব সাইটগুলির পুনরুদ্ধার ব্যবস্থা।

যদিও অনেকের ধারণা ছিল যে এই আক্রমণের জন্য এসএসএল (সিকিউর সকেট লেয়ার) সংযোগ ছিল না, কামিনস্কি এও দেখিয়েছেন যে ওয়েব সাইটগুলির বৈধতা নিশ্চিত করার জন্য যে SSL সার্টিফিকেট ব্যবহার করা হয়েছে সেগুলি কীভাবে ব্যবহার করা যায়? DNS আক্রমণ সমস্যা, তিনি বলেন, এসএসএল সার্টিফিকেট যে ইস্যু করে ই-মেইল এবং ওয়েবকে তাদের সার্টিফিকেট যাচাই করার জন্য ইন্টারনেট সেবা ব্যবহার করে। "একটি DNS আক্রমণের মুখে যে নিরাপদ অনুমান অনুমান," Kaminsky বলেন। "খুব না।"

"এসএলএল কোন সমস্যা নয়, এটি আমরা চাই," তিনি বলেন।

আরেকটি বড় সমস্যা কামিনস্কি বলছে যে "আমার পাসওয়ার্ড ভুলে গেছি" আক্রমণ এই ওয়েব ভিত্তিক পাসওয়ার্ড পুনরুদ্ধার সিস্টেম আছে যে অনেক কোম্পানি প্রভাবিত করে। অপরাধীরা ওয়েবসাইটের একটি ব্যবহারকারীর পাসওয়ার্ড ভুলে গিয়ে দাবি করতে পারেন এবং তারপর DNS হ্যাকিং কৌশলগুলি তাদের নিজস্ব কম্পিউটারে পাসওয়ার্ড পাঠানোর জন্য সাইটটিকে হ্যাক করার জন্য ব্যবহার করে।

DNS বিক্রেতাদের পাশাপাশি কামিনস্কি বলেন যে তিনি কোম্পানীর সাথে কাজ করেছেন যেমন গুগল, ফেসবুক, ইয়াহু এবং ইবে হিসাবে ত্রুটি সংক্রান্ত বিভিন্ন সমস্যা সমাধানের জন্য। "আমি এই মাসে আমার মোবাইল ফোন বিল দেখতে চাই না", তিনি বলেন।

যদিও কিছু সম্মেলন অংশগ্রহণকারীদের বুধবার বলা হয়েছে যে Kaminsky এর আলাপ ছিল overhyped, OpenDNS সিইও ডেভিড Ulevitch বলেন যে আইওএক্টিভ গবেষক ইন্টারনেটের জন্য একটি মূল্যবান সেবা সঞ্চালিত হয়েছে সম্প্রদায়. "হামলার সম্পূর্ণ সুযোগ এখনো সম্পূর্ণরূপে উপলব্ধ করা হয়," তিনি বলেন। "এই ইন্টারনেটে প্রতি একক ব্যক্তি প্রভাবিত করে।"

তবে কিছু হিকিক্স হয়েছে, তবে কামিনস্কির প্রথম আলোচনার দুই সপ্তাহ পর, নিরাপত্তা সংস্থার মাতাসনো সিকিউরিটি দ্বারা ত্রুটিপূর্ণভাবে ইন্টারনেটে বাগের প্রযুক্তিগত বিবরণটি লিক হয়ে যায়। এছাড়াও, কিছু উচ্চ-ট্র্যাফিক DNS সার্ভারগুলি প্রাথমিক প্যাচ প্রয়োগ করার পরে সঠিকভাবে কাজ করা বন্ধ করে দেয় এবং ইন্টারনেট প্রটোকল ঠিকানা অনুবাদ করে এমন কয়েকটি ফায়ারওয়াল প্রোডাক্টগুলি অজানা কিছু DNS পরিবর্তন করে এই সমস্যার সমাধান করতে পারে।

তার পরে একটি সাক্ষাত্কারে ব্ল্যাক হ্যাট উপস্থাপনা, কামিন্সস্কি বলেন যে সমস্ত ঝামেলা সত্ত্বেও, তিনি আবারও একই জিনিস করবেন। "শত শত মানুষ নিরাপদ," তিনি বলেন। "জিনিসগুলি পুরোপুরিভাবে চলত না, তবে আমার কাছে আশা করার অধিকার ছিল না বরং এটি এতটাই ভালো ছিল।"