セキュリティに関するニュースを淡々と伝えるスレ2
242 :DNS脆弱性詳細公表:
>>136,>>185,>>193など
DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介…Black Hat (ComputerWorld. 8/7)
「SSLはわれわれが思っているような万能薬ではない」と強調
Kaminsky氏は、DNSプロトコルの仕組みに潜む一連のバグをエクスプロイトすることで、短時間のうちにDNSサーバを
不正情報で満たす方法を突き止めていた。犯罪者はこのテクニックを使って犠牲者を偽サイトに誘導できるという。
また、Kaminsky氏は同セッションの講演において、ほかにも多数の攻撃法を紹介した。
同氏は、この欠陥を突くことで、電子メール・メッセージやソフトウェア・アップデート・システム、さらには
Webサイトにおけるパスワード回復システムさえも攻撃できることを証明して見せた。
それまではSSL(Secure Socket Layer)を使えばこの攻撃から保護できると考える人が多かったが、Kaminsky氏はWeb
サイトの有効性を確認するためのSSL証明書でさえ、DNS攻撃により回避できることを実証した。
。
もう1つの大きな問題は「パスワード忘れ」を装う攻撃であるとKaminsky氏は指摘した。この攻撃は、Web上にパスワード
回復システムを用意している多くの企業に影響を及ぼす。犯罪者は、サイト上でユーザー・パスワードを忘れたように装い、
DNSハッキング・テクニックを使って、そのサイトにパスワードを自分のコンピュータに送るよう仕向けることができるのだ。
「DNS攻撃の全貌はまだ完全に解明されたわけでないが、インターネット・ユーザー全員に影響することはまちがいない」とUlevitch氏は注意を促す。
http://www.computerworld.jp/topics/vs/118209.html
DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介…Black Hat (ComputerWorld. 8/7)
「SSLはわれわれが思っているような万能薬ではない」と強調
Kaminsky氏は、DNSプロトコルの仕組みに潜む一連のバグをエクスプロイトすることで、短時間のうちにDNSサーバを
不正情報で満たす方法を突き止めていた。犯罪者はこのテクニックを使って犠牲者を偽サイトに誘導できるという。
また、Kaminsky氏は同セッションの講演において、ほかにも多数の攻撃法を紹介した。
同氏は、この欠陥を突くことで、電子メール・メッセージやソフトウェア・アップデート・システム、さらには
Webサイトにおけるパスワード回復システムさえも攻撃できることを証明して見せた。
それまではSSL(Secure Socket Layer)を使えばこの攻撃から保護できると考える人が多かったが、Kaminsky氏はWeb
サイトの有効性を確認するためのSSL証明書でさえ、DNS攻撃により回避できることを実証した。
。
もう1つの大きな問題は「パスワード忘れ」を装う攻撃であるとKaminsky氏は指摘した。この攻撃は、Web上にパスワード
回復システムを用意している多くの企業に影響を及ぼす。犯罪者は、サイト上でユーザー・パスワードを忘れたように装い、
DNSハッキング・テクニックを使って、そのサイトにパスワードを自分のコンピュータに送るよう仕向けることができるのだ。
「DNS攻撃の全貌はまだ完全に解明されたわけでないが、インターネット・ユーザー全員に影響することはまちがいない」とUlevitch氏は注意を促す。
http://www.computerworld.jp/topics/vs/118209.html
|
|
|