1. DNS/Kaminskyの警告
[http://www.doxpara.com/?p=1215 On The Flip Side] 多数の人がすぐに実行できる対策
最近になって Kaminsky のページに以下の文章が掲載されている
[http://www.doxpara.com/?p=1234 Please Do Not Destroy The DNS In Order To Save It]
[http://www.doxpara.com/?p=1237 Towards The Next DNS Fix]
これらには「攻撃手法の具体例」は重要ではないことが書かれている。
- TTL の制約を迂回する方法は 15 種以上ある。
- キャッシュされない query type や、返事をもらえない query type など
- 結局のところ、port randomization 対策が進まなければ、 脆弱性の詳細の議論はしない。
DNS キャッシュが非常に危険な状態である現在はもっともな理由ではある。 しかし、そろそろ攻撃が成立する例を公表していいのではないか。
そして、発見から公表までに 6ヶ月も間をあけたのはなぜか。 その間の危険はどう考えたのか。
- port randomization パッチを用意するだけで 6ヶ月もかかるものか。
- Nominum (Mokapetris)のプレス発表(宣伝)と合わせてみると、あやしさが増す。
- 今年初めに Kaminsky が通告、3 月末に会合、port randomize に合意とは。 Kaminsky のおもいには関係なくひきのばされた可能性もある。
- 彼等はアメリカの利益しか頭にないのだろう。
- DNS で一番に毒の影響を受ける glue を守る Gabriel の対策に対する 攻撃の激しさはなぜなのか。(確かにあれだけでは対策とは言えないが)
- DJB を持ちあげる一方で djbdns の不良をほのめかすのはなぜか。
謎は積みかさなっている
- この 6ヶ月間に被害が出ていないのか。(特に日本ではどうか)
- 6ヶ月前に patch なしの状態で公表されていたら、panic になったのだろうか。
1.1. 心配
脆弱性を残したままの多数のサイトがある。警告は目に入らないのだろう。
日本での静けさは『DNS の危険性をまったく理解していない』のではないかと、 心配になる。(特にマスメディア) JPCERT が警告するだけでいいのか。
もし業界に騒ぎにしたくないという発想があるとしたら、間違っている。
- 大きな欠陥を抱えたままでインターネットをこれ以上発展させようというのか。 騒がないことが大問題だという認識がないのがおかしい。
技術系の人間は(経営者の)道具に使われているだけだから、という説もある。
- そういう人は技術者ではない。
「インターネットなんてこんなものだ」と言う分った顔の人が問題というのは 石井先生のページからのパクリ。根はオイルピーク問題と同じだろう。 そこまでインターネットが理解されていない可能性もある。
理解は進みましたか。
2008-09-08 前野年紀