DNS 漏洞发现者 Dan Kaminsky 访谈录

http://www.ziseguizu.com/post/Dan-Kaminsky.htm

采访Dan Kaminsky，谁是Dan Kaminsky？他就是今年闹的纷纷扬扬的让大多数虚拟主机厂商都非常担心的DNS漏洞的发现者。我一直想把这个漏洞做一个完整的整理，但由于涉及到奥运期间的许多事情的安排，直到现在都没有抽出来时间整理，真的是很抱歉，呵呵。不过，35公里那里说Dan Kaminsky出现在了今年的黑帽大会上，而且还是便装。据Dan Kaminsky透露，DNS漏洞早就存在了，但为了不让互联网遭受更大的攻击，一直未暴露出来，这期间，还有几篇新闻等报道，过几天我花点儿时间整理一下。今天这篇采访是VentureBeat的记者Dean Takahashi在黑帽大会上对Dan Kaminsky的采访。我转了过来，记录一下吧，这篇是中文翻译版。

——紫色贵族

作者：Dean Takahashi  来源：VentureBeat

35公里 写道 "Dan Kaminsky 便装出现在今年的黑帽大会，他刚刚于昨天结束一场现场观众达1000人的演示会，这是10年来，他第9次在黑帽大会上发言。现年29岁的 Dan 自称为 DNS 达人，在今天早些时候曾发现了 DNS 系统的一个严重漏洞，为了不让 Internet 遭受重创，他一直不肯透露漏洞的细节（DNS 漏洞细节被泄露，攻击即将开始）。VentureBeat （VB） 的记者 Dean Takahashi 在黑帽大会上对 Dan Kaminsky （DK） 进行了采访。

VB: 如何描述这个漏洞?

DK: DNS 问题一直存在，我们有 65000/1 的机会被攻击，但我们觉得，你每天只有一次攻击机会，尝试65000天不是件容易事，所以并不见得多么危险，然而这种低概率攻击总是一种隐患。现在，在这种新漏洞下，一个黑客可以在10秒内发起65000次攻击，这很容易得逞。

VB: 你是否觉得自己是个安全方面的大人物？

DK: 将这个漏洞补上面临着诸多噪音。如果你发现了一个安全漏洞，这个漏洞可能影响很多人，你将有三件事要做。第一，找到漏洞，这并不难，不需要花太多时间；接着，你需要写一个补丁，因为写补丁牵扯到太多公司，我们必须找到一个办法，让这些公司坐到一起商谈，我们要让很多人明白这件事的重要性；但这仍不够，因为这个漏洞是结构性漏洞，我们第三步必须在让那些网络运营者知道这个漏洞，说服他们升级系统。我们做出了补丁，需要他们参与测试。

VB: 你是如何开始安全工作生涯的?

DK: 我曾在思科从事一项非常枯燥的工作。

VB: 起因是什么?

DK: 我长期以来就是个 Geek.

VB: 在安全领域你最早的经历是什么?

DK:在大学时，我发现，任何人想使用学校的打印机，需要在自己的电脑中执行学校的一段代码，这让我不胜其烦，我就写了一个叫做Docsprint 的系统，你不必登陆到学校的系统，只需将打印数据发送到我的服务器，那一阵，Santa Clara 大学学生宿舍有一半的打印任务是通过我们宿舍进行的，那很有趣。我后来到思科做网络，使用那些非常蹩脚的语言做一些连文档都没有的东西。我发现了代码中的一些错误，就修改那些代码。我开始学习安全，很投入，读了一大堆这类的书。一个叫 Ryan 的朋友给我发邮件，他说写作水平不错，就请我帮他写一本书中的一个章节，但不给我署名，那本书叫做《网络攻击预防》，我没告诉过任何人。那一年，有一个安全寻宝活动，你可以赢得一件 T 恤衫，或者一张去黑帽大会的门票，我很想得到黑帽大会的门票。我已经准备去参加 Defcon 了，书上都有我的署名，署的还是 Cisco 的 Dan Kaminsky。我没有告诉思科我署名的时候用了公司的名字，没有人拿我这样一个实习生当回事。在黑帽大会，我去了一个会场，Mudge 在那主持，他是当时最老的黑客之一。他提问了一个问题，我回答上了，他问我多大，我说20，他说，永远不要告诉别人你多大，否则他们会信不过你。那是我第一次参加黑帽，这次是第10次。

VB: 你今年多大？

DK: 我不会告诉你的。我29。

VB: 是什么背景让你发现了这个漏洞?

DK: 我长期以来一直研究 DNS。这是我在黑帽大会上第三次谈这个话题。第一次的时候，讲的全是这个，我讲到如何使用DNS系统做数据隧道，作数据存储，或用作通用通讯通道。去年，我讲到如何使用 DNS 同 Web 浏览器交互以绕过防火墙。我并不想破坏 DNS 系统，只是想创建一种新的 CDN 网络，我想将人们从慢的服务器转到快的上面。我可以利用 DNS 实现吗？从去年开始，我就有了这样的工具，如果我使用这个方法，就必须解决 TTL 问题，是 TTL 拖慢了速度。我想慢的原因是为了防止缓存毒药，但那完全是可行的。我惊得目瞪口呆，我联系上 ISC 的总裁 Paul Vixie，他研究 DNS 20年了，是 BIND 的设计者。我说，Paul，我们有麻烦了。我们便开始联系我们所知道的人，所有的人都很合作。

VB: 要找到16个你信任的人是不是很难?

DK: DNS 圈子本来就不大。

VB: 人们理解其中的意味吗?

DK: 一切都很明确，这个漏洞会将所有东西都打破，一个如此简单的漏洞导致大量问题是不应该的。

VB: 你提到这个结构性漏洞从1983年就存在了，这是不是意味着 Internet 需要一次彻底的改造?

DK: 1983年设计 DNS 的时候，不需要考虑安全问题，甚至1993年都不存在这个问题，直到90年代末，人们才在安全上大量投入，也就是从那时起，开始有人盯上了网络中的资产并实施破坏。各种系统中的安全漏洞五花八门，但我们都习惯于以一种根本不安全的方式使用 Internet。每次我们使用 SSL 的时候，都会碰到问题，有时候问题在一些方面得到缓解，在另一些方面恶化。

VB: 你说过这个漏洞影响广泛，为什么?

DK: DNS 的准确性非常重要，一旦遭到破坏，会将所有的东西都搞乱。最初，7月8日，我指出这个问题将导致用户浏览到伪造的网站，邮件可能被发送到错误的方向。这对安全来讲已经够坏了。然而这还不够，DNS 是整个 Internet 的心脏，SSL 要求你得到证书，但要获取证书你需要 DNS 并通过 email 发送，如果 DNS 崩溃了，SSL 根本就无法安全地工作。

VB: 你还提到，几乎所有登陆网页上的密码找回功能也会出现安全问题，能解释一下吗?

DK: 如果你忘记了密码，他们会发个邮件给你，里面包含一个链接让你重设密码，他们并不验证你是谁，想象一下，如果是别人得到了这封邮件会怎么样？

VB: 你说，很幸运是一个安全专家而不是其他人发现了这个问题.

DK: 服务能力是一个被忽视的安全问题，我今年得到的最大教训就是这个。你必须假设你的架构的某一部分会出现问题，而你时刻准备去迅速解决。我们需要一个过程，从得到警告到花费多少天去解决问题。人们购买这类系统的时候需要考虑这个问题，这个系统应当容易修补漏洞。一个可以在8小时内补上漏洞的系统，比90天才能修补的系统更能承受攻击。一个随机的黑客和一个安全专家的区别在于是否有灾难计划与缓解意识。

VB: 还有更多漏洞会被发现吗?

DK: 钱是好东西了，这里有一个会场就是关于漏洞的几率，这个漏洞有太多钱景。

VB: 是否有证据表明攻击正在进行?

DK: 我知道在 Austin 出了点问题，我相信那牵扯的 Google 并与点击欺诈有关。但我们在等待更多数据，有一些事正在进行但我不便说，我有一些数据在手，我们仍在分析。

VB: 但你有信心，整个行业的合作将来会带来好的结果，是吗?

DK: 我认为我们目前的模式可以解决这类的问题，但不认为已经做得够好。我们失去了 NAT 与防火墙商，我们失去了一整个行业。我们应当让他们加入进来，但你不能去争论一些数字，今天，1亿2000万宽带用户得到保护。最初，在我的网站进行测试的用户中，84%的人存在漏洞，现在是30%，这就是我们得到的结果。