Végtelen lehetőségeket rejt az internet hibája

Kaminsky szerint a sebezhetőséget kihasználva könnyedén lehetett volna hamis, például kártevőket tartalmazó szoftverfrissítéseket küldeni a felhasználók számítógépeire - számolt be a Threat Level blog. De meg lehetett volna hamisítani az elektromos kereskedelemben, biztonságos levelezésben és a netes élet ezer más területén használatos SSL-tanúsítványokat is. A szakember úgy véli, nehéz olyan területet találni, ami egyáltalán nem érintett a hibában. A támadási lehetőségeknek csak a hackerek fantáziája szab határt.

Másképp is át lehet verni a felhasználókat

Nem mindenki ennyire pesszimista a sebezhetőséggel kapcsolatban. Ken Silvát, az SSL-tanúsítványokat kiadó és internet tizenhárom fő DSN-éből kettőt is üzemeltető VeriSign cég technológusát a BBC szólaltatta meg. A szakember szerint egy ilyen sebezhetőség megjelenését évek óta lehetett várni, a cég pedig felkészült a támadásokra.

Silva túlzottnak érzi a hiba körüli felhajtást: a hisztéria pedig azt sugallhatja a biztonsági kérdésekben járatlan netezőknek, hogy eddig nem volt módszer az óvatlan felhasználók eltérítésére. A szakember szerint a javítófoltok teljes elterjedése után sem dőlhetnek nyugodtan hátra a netezők, hiszen a számítástechnika legkomolyabb sebezhetőségére még nincs biztosan működő patch: a tudatlan és félrevezethető felhasználó továbbra is a rendszergazdák legnagyobb problémája marad.

58 százalék még veszélyben

A Clarified Networks biztonságtechnikai szolgáltatásokat nyújtó cég egy látványos videóban foglalta össze a DSN-t javító patch telepítésének terjedését. A sebezhető szervereket jelző piros pontok helyét előbb a csupán helyi hálózati hibát jelző sárga, majd a teljesen védett zöld pontok veszik át, jelezve, hogy valahogy csak sikerült túlélni az évtized legsúlyosabb online vészhelyzetét.

A valóság természetesen ennyire nem rózsás. Kaminsky szerdai előadásán még a netszolgáltatók DNS szervereinek 42 százalékán sikerült telepíteni a javítófoltot, így 120 millió szélessávú netező már biztonságban van. A Fortune magazin 500-as vállalati toplistáján szereplő cégek 70 százaléka is védett. A fennmaradó harminc százalék egyik fele megpróbálta javítani a hibát, de nem járt sikerrel, másik pedig meg sem próbált tenni ellene.

Süti és cirkusz

A sebezhetőség természetének kiszivárgása óta számos formában ismertették a pontos hibát, talán már csak egészestés mozifilm és musical nem készült róla. Az egyik ilyen alkotás egy délelőtti ismeretterjesztő gyermekprogramokat idéző videó, amelyben a hibát felfedező Dan Kaminsky unokahúgával beszél a DNS-szerverek csodálatos világát. Az igazán szkeptikusak pedig azt is elolvashatják a Threat Level blogon, hogy mi Kaminsky nagymamájának a véleménye a hibáról, és hogyan ízlett a hackereknek az általa sütött "session cookie".