Sân bay Vinh sẽ Äược nâng cấp Äá» phục vụ 7 triá»u lượt khách má»i nÄm
Công việc toàn thời gian của Kaminsky trong vài tháng qua đã làm việc với các nhà cung cấp phần mềm và các công ty Internet để sửa chữa một lỗ hổng phổ biến trong DNS (hệ thống tên miền), được sử dụng bởi máy tính để tìm thấy nhau trên Internet. Kaminsky lần đầu tiên tiết lộ vấn đề này vào ngày 8 tháng 7, cảnh báo người dùng doanh nghiệp và các nhà cung cấp dịch vụ Internet để vá phần mềm của họ càng nhanh càng tốt.Ngày thứ tư, ông tiết lộ thêm chi tiết về vấn đề này trong một buổi họp đông đúc tại hội nghị Black Hat, mô tả một mảng tấn công chóng mặt có thể khai thác DNS. Kaminsky cũng đã nói về một số công việc anh đã làm để sửa chữa các dịch vụ Internet quan trọng cũng có thể bị tấn công bằng cách tấn công.
[Đọc thêm: Các hộp NAS tốt nhất cho truyền thông và sao lưu]
Bằng cách khai thác một loạt các lỗi trong cách thức giao thức DNS hoạt động, Kaminsky đã tìm ra cách để nhanh chóng lấp đầy các máy chủ DNS với thông tin không chính xác. Các tội phạm có thể sử dụng kỹ thuật này để chuyển hướng nạn nhân tới các trang web giả mạo, nhưng trong bài diễn thuyết của Kaminsky, ông đã miêu tả nhiều kiểu tấn công có thể xảy ra.
Ông mô tả lỗi này có thể được sử dụng như thế nào để thỏa hiệp với e-mail, hệ thống cập nhật phần mềm hoặc thậm chí là mật khẩu hệ thống phục hồi trên các trang web phổ biếnMặc dù nhiều người cho rằng các kết nối SSL (Secure Socket Layer) không thấm vào cuộc tấn công này, Kaminsky cũng cho thấy ngay cả các chứng chỉ SSL được sử dụng để xác nhận tính hợp lệ của các trang Web có thể bị phá vỡ bằng Tấn công DNS. Vấn đề, ông nói, là các công ty cấp chứng chỉ SSL sử dụng các dịch vụ Internet như e-mail và Web để xác nhận chứng chỉ của họ. "Đoán như thế nào là an toàn khi đối mặt với một cuộc tấn công DNS," Kaminsky nói. "Không phải."
"SSL không phải là thuốc chữa bách bệnh mà chúng tôi muốn," ông nói.
Một vấn đề lớn khác là những gì Kaminsky nói là cuộc tấn công "quên mật khẩu của tôi". Điều này ảnh hưởng đến nhiều công ty có hệ thống khôi phục mật khẩu dựa trên web. Các tội phạm có thể yêu cầu quên mật khẩu của người dùng vào trang Web và sau đó sử dụng các kỹ thuật hacking DNS để lừa trang web gửi mật khẩu đến máy tính của họ.
Ngoài các nhà cung cấp DNS, Kaminsky nói ông đã làm việc với các công ty chẳng hạn như Google, Facebook, Yahoo và eBay để khắc phục các vấn đề khác nhau liên quan đến lỗ hổng. "Tôi không muốn xem hóa đơn điện thoại di động của tôi trong tháng này", ông nói.
Mặc dù một số người tham dự hội nghị cho biết hôm thứ Tư rằng cuộc nói chuyện của Kaminsky bị quá tải, Giám đốc điều hành OpenDNS David Ulevitch nói rằng nhà nghiên cứu IOActive đã thực hiện một dịch vụ có giá trị cho Internet cộng đồng. "Toàn bộ phạm vi của cuộc tấn công vẫn chưa được thực hiện đầy đủ", ông nói. "Điều này ảnh hưởng đến mọi người trên Internet."
Tuy nhiên, đã có một số trục trặc. Hai tuần sau khi Kaminsky lần đầu tiên thảo luận về vấn đề này, các chi tiết kỹ thuật của lỗi đã vô tình bị rò rỉ vào Internet bởi công ty bảo mật Matasano Security. Ngoài ra, một số máy chủ DNS có lưu lượng cao ngừng hoạt động đúng sau khi bản vá ban đầu được áp dụng và một số sản phẩm tường lửa thực hiện dịch địa chỉ Giao thức Internet đã vô tình hoàn tác một số thay đổi DNS được thực hiện để giải quyết vấn đề này. Black Hat trình bày, Kaminsky nói rằng mặc dù tất cả các phức tạp, anh vẫn làm điều tương tự một lần nữa. "Hàng trăm triệu người an toàn hơn", ông nói. "Mọi thứ đã không hoàn hảo, nhưng nó đã tốt hơn rất nhiều so với tôi có bất kỳ mong đợi nào."
Một ngày sau khi một công ty an ninh vô tình đưa ra các chi tiết của một lỗ hổng nghiêm trọng trong hệ thống DNS (Domain Name System), các hacker nói rằng phần mềm khai thác lỗ hổng này chắc chắn sẽ xuất hiện sớm. Dave Aitel, giám đốc công nghệ của hãng Immunity, cho biết hãng đang phát triển mã tấn công cho lỗi, và sẽ có nhiều khả năng sẽ xuất hiện trong vài ngày tới. Công ty của ông ta cuối cùng cũng sẽ phát triển mã mẫu cho phần mềm thử nghiệm Canvas của mình, một nhiệm vụ mà ông ta mong đợi
Tác giả của một công cụ hacker được sử dụng rộng rãi cho biết ông hy vọng sẽ bị khai thác vào cuối ngày thứ ba. Trong một cuộc phỏng vấn qua điện thoại, HD Moore, tác giả của phần mềm thử nghiệm xâm nhập Metasploit, đã đồng ý với Aitel rằng mã tấn công sẽ không khó để viết.
Microsoft vừa công bố một API Live Search mới được phát triển mà các nhà phát triển có thể sử dụng để nhúng các tìm kiếm trên các trang Web với sự hỗ trợ nhiều hơn cho các công nghệ phát triển web thường xuyên và ít hạn chế hơn về cách các bên thứ ba sử dụng công nghệ trên các trang web của họ
Project Silkroad là một API (giao diện lập trình ứng dụng) cho Live Search, hỗ trợ một loạt các giao thức và công nghệ Web mở được sử dụng để xây dựng các trang web, bao gồm RSS, JSON (JavaScript Object Notation), REST (State Representative State Transfer) và XML (Extensible Markup Language Theo ông Angus Norton, giám đốc điều hành của Live Search tại Microsoft, Microsoft cũng đang công bố các bên thứ ba từ những hạn chế trước đó về việc sử dụng API như thế nào. Không có giới hạn về số lượng tru
IT các nhà cung cấp và nhóm công nghệ công nghệ nói rằng một bộ nguyên tắc pháp lý mới cho các hợp đồng phần mềm do Viện Luật Hoa Kỳ (ALI) phát triển có thể ngăn cản sự đổi mới và tăng chi phí phần mềm, mặc dù chúng có nghĩa là bảo vệ người tiêu dùng. sắc màu rực rỡ, hơn 300 tài liệu trang, "Nguyên tắc của Luật Hợp đồng Phần mềm", đặc biệt là vẽ lửa. Nó tuyên bố rằng các bên nhận thanh toán cho phần mềm "đảm bảo cho bất kỳ bên nào trong chuỗi phân phối thông thường rằng phần mềm k
Của phần mềm, ngôn ngữ có thể mở ra ngành công nghiệp phần mềm để nghiền nát các khiếu nại trách nhiệm, ngăn chặn khả năng đổi mới và tăng giá cho khách hàng, nhà cung cấp và các hiệp hội ngành công nghiệp.