Jeffrey Cross
Jeffrey Cross

DJBDNS, eksploit DNS, Bernstein, Schneier, dan keselamatan dengan reka bentuk

Sekiranya anda tidak tinggal di bawah batu, anda mungkin pernah mendengar tentang kerentanan DNS yang telah diumumkan Dan Kaminsky kira-kira setengah tahun lalu. Rancangannya ialah Kaminsky akan bekerjasama dengan penjual pelayan DNS untuk menyediakan tampalan, memberikan masa yang cukup untuk pentadbir untuk menaik taraf sebelum butiran eksploit dikeluarkan pada tahun ini. Malangnya eksploit itu telah dibocorkan secara beransur-ansur, menyebabkan mod perasan umum di kalangan orang yang mentadbir sistem DNS.

Apabila saya membaca artikel mengenai Slashdot, "semua pelayan nama harus ditambal secepat mungkin" petikan juga menjatuhkan sedikit rasa takut kepada saya. Bagaimana pula dengan pelayan DNS yang menyedihkan saya? Saya membayangkan menghabiskan malam bekerja melalui proses memakan masa yang menampal dan menyusun semula perkara yang tidak saya sentuh selama bertahun-tahun. Banyak kejutan yang menyenangkan, DJbdns, pelayan DNS D.J Bernstein, tidak terdedah. Keputusan saya untuk menggunakan djbdns beberapa tahun yang lalu adalah terutamanya kerana falsafah vokal keselamatan kejuruteraannya dengan reka bentuk dan bukannya dengan tindak balas.

Analisis Bruce Schneier mengenai perkara-perkara seperti biasa. Ini merupakan kajian kes yang kukuh untuk amalan kejuruteraan perisian kebersihan dan reka bentuk sistem yang selamat.

Pelajaran sebenar adalah bahawa treadmill patch tidak berfungsi, dan ia tidak bertahun-tahun. Ini kitaran mencari lubang keselamatan dan bergegas untuk menambal mereka sebelum orang jahat mengeksploitasi kelemahan itu mahal, tidak cekap dan tidak lengkap. Kita perlu merancang keselamatan ke dalam sistem kita dari awal lagi. Kami memerlukan jaminan. Kami memerlukan jurutera keselamatan yang terlibat dalam reka bentuk sistem. Proses ini tidak akan menghalang setiap kelemahan, tetapi ia lebih selamat - dan lebih murah - daripada treadmill patch kami sekarang.

Apakah jurutera keselamatan yang membawa kepada masalah itu adalah minda tertentu. Dia berfikir tentang sistem dari perspektif keselamatan. Ia bukan bahawa dia mendapati semua kemungkinan serangan sebelum orang jahat lakukan; lebih-lebih lagi bahawa dia menjangka jenis serangan yang berpotensi, dan mempertahankannya walaupun dia tidak tahu maklumat mereka. Saya melihat ini sepanjang masa dalam reka bentuk kriptografi yang baik. Ini lebihan kejuruteraan berdasarkan intuisi, tetapi jika jurutera keselamatan mempunyai gerak hati yang baik, ia biasanya berfungsi.

Kerentanan Kaminsky adalah contoh yang sempurna dalam hal ini. Tahun lalu, cryptographer Daniel J. Bernstein melihat keselamatan DNS dan memutuskan bahawa Rawak Port Sumber adalah pilihan reka bentuk pintar. Itulah persoalan kerja yang sedang dilancarkan sekarang setelah penemuan Kaminsky. Bernstein tidak menemui serangan Kaminsky; Sebaliknya, dia melihat kelas umum serangan dan menyadari peningkatan ini dapat melindungi mereka. Akibatnya, program DNS yang dia tulis pada tahun 2000, djbdns, tidak perlu ditambal; ia sudah kebal terhadap serangan Kaminsky.

Pelayan djbdns tidak diprapasang pada distro Linux saya berdasarkan pelayan lama miskin saya. Pakej deamontools DJB, yang menguruskan permulaan dan penutupan perkhidmatan, menjengkelkan untuk menangani apabila setiap aplikasi lain hanya menggunakan skrip init rc biasa. Konfigurasi dan persediaan pelayan dns juga tidak dikenali untuk saya, setelah sebelumnya hanya bekerja dengan fail zon BIND.

Terdapat satu lagi perkara yang benar-benar berbeza dengan djbdns daripada mana-mana pelayan DNS lain yang pernah saya pentadbir: Saya tidak pernah terpasangnya. Saya hanya mempunyai satu pengalaman perisian lain seperti ini, dengan sistem pemindahan mel qmail. Qmail juga direka oleh Bernstein. Hmm.

Jika anda menaik taraf pelayan DNS anda, mungkin sekarang adalah masa untuk mula memikirkan alternatif anda.

DJBernstein pelayan Danielberns Schneier - DNS Kerentanan DJB pada pemalsuan DNS Slashdot - DNS Attack Kaminsky diberitahu, Kemudian Ditarik

Kongsi

Meninggalkan Komen