1. DNS/wiki/Kaminskyの攻撃手法
DNS/キャッシュサーバ毒盛/Kaminsky型攻撃についての議論 /tss /tss2
ウェッブ上にはきちんと正しい説明(解釈)をしているものがほとんどない。なぜか。
- Kaminsky のBlachhatでの説明には誤りがあるにもかかわらず、誤りを指摘できるはずの人達が黙っている。
- 勝手な解釈をしたうえ、その攻撃が成立することの根拠も示していない。
これらが現在のDNSに内在する問題の深刻さを示していると考える。
- 多くのものはKaminskyへのリンクと引用に過ぎない。これらは当然ながら、無視する。
- BIND が毒盛される弱点をもっていることは事実であろう。
- しかし、どういう状況でどういう毒盛が可能であるのかが書かれたものはほとんどない。
- (確認の手段が公開されていない。)
- しかし、どういう状況でどういう毒盛が可能であるのかが書かれたものはほとんどない。
- どういう弱点であるかは、BIND開発者側から説明されていないし、今後もなさそう。 (2009年末に発覚)
- これではまともなソフトウェア開発とはいえないし、セキュリティに責任ある態度でもない。
- Kaminsky の指摘とマスコミをひっぱりこんだ手法により、BIND などの弱点が暴露されたからには、
- Kaminsky の指摘の少々の欠陥はたいした問題ではない。
- すぐにやれるのは port randomize くらいしかない。
- これではまともなソフトウェア開発とはいえないし、セキュリティに責任ある態度でもない。
- そして、DNSSECを押し付けるいい機会だと思っているふしがある。
- セキュリティ関係者ですら、DNS の構造的欠陥には目を背けているようだ。あるいは理解していないのか。
- 後者だとすると、非常に危険な状態にあると言える。
説明スライドの誤り [なぜ誰も指摘しないのか; 分かっていない人も多い]
- なぜ修正しないのか [気づいていないのか? No. どうせ分からないだろうと見ているのか]
- An Illustrated Guide to the Kaminsky DNS Vulnerability
delegation タイプの攻撃よりも ../CNAME タイプの攻撃の方が簡単らしい。
- CNAME に関しては RFCで additionalによる攻撃ができないように規程されている。実装の欠陥はありえる。
- Kaminsky の例が間違っていても、BINDの脆弱性がなくなる訳でもない。他にも類似の弱点がありそう。
そして、DNSSECを使わせたい集団との利害一致が背景にある。