A Metasploit hacking toolkit programozóinak jóvoltából alig két nappal a biztonsági rés nyilvánosságra hozatala után már letölthető az azt kihasználó rosszindulatú szoftver. Mint arról lapunk a hét elején beszámolt, egy Halvar Flake nevű hacker blogbejegyzése nyomán a Matasano Security egyik alkalmazottja figyelmetlenségből árulta el annak a doméneket kezelő adatbázis-rendszerben (Domain Name System – DNS) található sebezhetőségnek a részleteit, amelyre Dan Kaminsky, az IOActive biztonsági szakértője bukkant rá körülbelül fél évvel ezelőtt.
A biztonsági rés felfedezése után a szakember megkereste a nagyobb számítástechnikai cégeket (Microsoft, Sun, Cisco stb.), amelyek a hiba súlyosságát felismerve hamar elkészítették a szükséges patcheket. Kaminsky arra kérte a hackereket, hogy az eredetileg augusztus 6-ára tervezett közzététel előtt ne is kutassák a biztonsági rés részleteit, mivel annak korai nyilvánosságra hozatala az internetes bűncselekmények számának nagymértékű emelkedéséhez vezethet. A kihívásra éhes hackerek azonban egymással versengve próbálták megfejteni Kaminsky rejtélyes sebezhetőségét, végül a Zynamics.com elnök-vezérigazgatója, a Halvar Flake néven is ismert Thomas Dullien jutott a legközelebb a megoldáshoz.
Kaminsky az idei Black Hat internetbiztonsági konferencián tervezte publikálni a sebezhetőség alapjait, de a fejlemények miatt egy tegnap megtartott internetes szemináriumon felfedte a biztonsági rés részleteit. A szakember a következő példával szemléltette a sebezhetőség három alapelvét: „Képzeljünk el egy olyan autóversenyt, ahol hiába érünk el a célvonalhoz, csak akkor mehetünk át rajta, ha a birtokunkban van egy titkos azonosítószám. A jófiúk mindig rendelkeznek az azonosítóval, azonban a rosszfiúknak kevesebb az esélye: 65 000 próbálkozásból csak egyszer hajthatnak át a célon, mivel az azonosító a használt port számának felel meg. A sebezhetőség egyik alapja, hogy a rosszfiúk akármikor elkezdhetnek egy versenyt, így ha nem is tudják az azonosítót, még mindig megtippelhetik azt. Esélyeiket tovább növeli a második hiba, amely megengedi, hogy az egyetlen jófiú ellen többen is versenybe szálljanak. A harmadik biztonsági rés segítségével azonban a rosszfiúk esélyei még tovább növelhetőek, mely szerint egyszerre akár több versenyt is indíthatnak egyetlen jófiú ellen.” A tegnap közzétett módszer lényege, hogy a DNS ellen egyszerre is bevethető a három felvázolt támadási lehetőséget, így növelve a sikeres DNS-gyorsítótár-mérgezés (DNS cache poisoning) esélyét.
Kaminsky a hiba bejelentésekor saját weboldalába beépített egy olyan lehetőséget, mellyel az általunk használt DNS-szervert le lehet ellenőrizni. Ez a névszerverről folyamatosan statisztikát készít, így átfogó képet kap arról, hogy a felhasználók hány százaléka védtelen a sebezhetőséggel szemben. Elmondása szerint a bejelentést követő első hétben mért 14 százalékos védettség mára 48 százalékra nőtt, de ez még mindig nem elég jó arány, a csalások megelőzéséhez arra kérte az internetszolgáltatókat, hogy a lehető leghamarabb foltozzák be szervereiken a biztonsági rést.
Internetbiztonsági szakemberek arra figyelmeztettek, hogy a most közzétett kód segítségével internetes bűnözők nagy csoportja lehet képes arra, hogy a felhasználókat észrevétlenül eltérítse olyan adathalász (phishing) oldalakra, melyek a megtévesztésig hasonlítanak az eredetire, így alkalmasak arra, hogy bizalmas információkat csaljanak ki a gyanútlan áldozatoktól.
