ìí´ë¡ ì§ê¸ë²¨ë½
해커 회의적인 무리지만, 그것은 인터넷 인프라의 치명적인 버그를 발견했다고 주장한 후에 보안 연구 커뮤니티의 동료들로부터 많은 단서를 얻은 Dan Kaminsky를 괴롭히지 않습니다.
Kaminsky는 화요일에 헤드 라인을 장식했습니다. 인터넷에서 컴퓨터를 서로 연결하는 데 사용되는 DNS (Domain Name System)의 주요 결함에 대해 이야기합니다. 3 월 말에 그는 DNS 소프트웨어 (Microsoft, Cisco 및 Sun Microsystems와 같은 회사)를 만드는 16 개의 회사를 그룹화하여 문제를 해결하고 패치를 공동으로 발표하는 방법에 대해 이야기했습니다.
하지만 일부 카민스키 동료는 인상적이었습니다. 그것은 그가 공개 된 주요 규칙 중 하나를 위반했기 때문입니다. 자신의 발견을 확인하기 위해 기술적 세부 사항을 제공하지 않고 결함을 알리는 것입니다. 수요일에 그는 블랙 박스 보안 컨퍼런스에서 더 많은 정보를 공개 할 예정인 다음 달까지 문제를 연구하지 않기 위해 해커들에게 자신의 블로그에서 한걸음 더 나아 갔다.
이 결함은 "캐시 중독 공격 (cache poisoning attack)"에서 악용 될 수있는 심각한 문제인 것처럼 보입니다. 이러한 공격은 DNS 시스템을 해킹하여 피해자를 모르게 악성 웹 사이트로 리디렉션합니다. 그들은 수 년 동안 알려져 왔지만 벗어나기가 어려울 수 있습니다. 그러나 카민스키는 DNS 프로토콜 자체의 설계 취약점으로 인해 이러한 공격을 시작하는 데 매우 효과적인 방법을 찾았다 고 주장한다. 그러나 화요일, 카민스키는 그의 발견에 대한 기술적 세부 사항을 공개하지 않았다.
그는 기업 IT 직원과 인터넷 서비스 공급자에게 DNS 소프트웨어를 업데이트하도록 압력을 가하는 동시에 문제의 정확한 특성에 대해 악의적 인 사람을 어둠 속에서 지키기 위해이 문제를 공개하기를 원한다고 말했다. 그는 기술적 인 세부 사항을 전면 공개함으로써 인터넷이 안전하지 않을 것이라고 수요일 인터뷰에서 밝혔다. "지금 당장은 아무 것도 공개 할 필요가 없다."그는 마타 사노 보안 연구원 Thomas Ptacek로부터 회의적인 반응을 빨리 보았다. 토마스 피타 첵은 카민스키의 캐시 중독 공격은 단지 잘 알려진 문제를 강조하는 많은 공개 중 하나 일 뿐이라고 블로그에 밝혔다. 인터넷에서 다른 컴퓨터와 통신 할 때 고유 한 "세션 ID"문자열을 만들기 위해 난수를 생성하는 데 충분하지는 않습니다.
"DNS의 버그는 16 비트 세션 ID "라고 수요일에 전자 메일을 통해 말했다. "128 비트 세션 ID 미만의 새로운 웹 응용 프로그램을 배포 할 수는 없으며 90 년대 이후의 근본적인 문제에 대해 알고있었습니다."995 페이지의 "overhyped 버그에 대한 인터뷰와 미디어 폭발의 맹공격이 있습니다 Dan Kaminsky는 "Matasano 블로그에 지칠 줄 모르고 익명의 포스터를 썼다."914> SANS 인터넷 스톰 센터 (SANS Internet Storm Center)는 매우 존경받는 보안 블로그로, 한 블로거는 카민스키의 버그가 실제로 3 년 전에 공개되었다고 추측했다.
보안 업체 IOActive와의 침투 테스팅 담당 이사 인 Kaminsky는 부정적인 반응으로 인해 "막연하게 놀랐다"고 말했지만 해커 커뮤니티에 이런 종류의 회의론이 필수적이라고 말했다. "나는 규칙을 어 기고있다"고 시인했다. "공격을 파악하기에는 충분한 정보가 없다. 나는 그것에 대해 자랑하고있다."
카민스키의 발견에 대한 상세한 브리핑을받은 소수의 사람들 중 한 사람인 DNS 전문가 폴 빅시에 따르면, SANS가 3 년 전에보고 한 문제와는 다릅니다. 인터넷에서 가장 널리 사용되는 DNS 서버 소프트웨어 제조사 인 인터넷 시스템 컨소시엄 (Internet Systems Consortium)의 사장 인 빅시 (Vixie)는 카민스키 (Kaminsky)의 결함은 동일한 영역에 있지만 "다른 문제"라고 말했다.
조지아 테크의 DNS 연구원 인 데이비드 다곤 (David Dagon)은 버그에 대해 브리핑을 한 바있다. 그는 "카멜 스키 (Dan Kaminsky)가 DNS 공격에서 오래된 작품을 재 포장했는지 의문이 드문 경우가있다"고 이메일을 통해 밝혔다. "세계 DNS 공급 업체가 아무런 이유없이 조율하여 패치하고 발표했다고 생각하는 것은 현실적이지 않습니다."
하루가 끝날 무렵, 카민스키는 카 틴스키가 전화로 그의 연구 내용에 대해 자세히 설명한 후에이 블로그에서 철회를 발표 한 그의 가장 유명한 비평가 인 마타 사노 (Matasano)의 피타 첵 (Ptacek)을 돌 렸습니다. "그는 물건을 가지고있다."Ptacek는 나중에 말했다. 이 공격은 이전의 DNS 연구를 기반으로하지만 캐시 중독 공격은 매우 쉽게 제거됩니다. 그는 "카친스키의 나머지 평론가들은 8 월 7 일 블랙 햇 프레 젠 테이션까지 확실히 기다려야 할 것"이라고 말했다.
보안 연구원은 자신의 말을 듣고 나타나기를 희망한다고 말했다. "만약 내가 그 착취가 없다면, 그는 말했다. "모든 분노와 불신의 가치가 있습니다."
Windows 7의 UAC 수정으로 보안 취약점이 생성됨, 블로거는
블로거가 UAC 기능에 대한 Windows 7 베타 버전의 변경 내용
EU 국회의원이 인터넷 접속 줄에서 타협을 모색 유럽 연합 (EU) 의원들은 정부가 사람들로 하여금 인터넷 액세스를 사용하지 못하도록 막을 수 있는지에 대한 정치적 쟁점을 해결하기 위해 목요일에 노력을 재개했다. 유럽 연합 (EU) 국회의원들은 목요일 정부가 인터넷 사용을 금지 할 수 있는지에 관한 정치적 쟁점을 해결하기 위해 노력을 재개했다. 같은 날 유럽에서 국가 정부의 인터넷 차단이 점차 보편화되고 있다고 주장하는 새로운 연구가 발표되었다.
각국 정부와 유럽 의회는 통신 분야의 새로운 법률에 대한 장애물을 극복하기 위해 공식 화해 회담을 열 것이라고 발표했다.
특허 관리 회사 인 MPEG LA는 Google과 계약을 체결하여 인터넷 거물 기술은 인터넷 거인이 뒷받침하는 VP8 비디오 코덱에 필수적 일 수 있습니다. 특허 관리 회사 인 MPEG LA는 인터넷 자이언트에 VP8 비디오 코덱에 필수적인 기술에 대한 라이센스를 부여하여 Google과의 계약을 발표했습니다. VP8은 2010 년 2 월에 Google이 약 1 억 2500 만 달러에 인수 한 On2 Technologies에서 개발 한 비디오 압축 기술입니다. 오픈 미디어 파일 형식으로 Google이 후원하는 오픈 소스 프로젝트 인 WebM은 오픈 Vorbis 오디오 코덱과 VP8을 사용합니다. Google은 무료 라이센스로 라이센스를 발급합니다.
라이센스 증대로 진행 속도 저하