Dan Kaminsky’s hype fans
Masih ingat dengan full-disclosure media hype Month Of Browser Bugs yang dimotori oleh HDM bulan juli 2006?!beberapa bulan setelah itu para fans full-disclosure media hype ikut-ikut an metode HDM dan menyelenggarakan ‘Month Of Something Bugs’ mereka masing-masing. Ada yang apple lah, ada yang kernel, dll.
Tahun 2008 sepertinya masa keemasan metode ‘partial-disclosure media hype’ oleh para researcher security, khususnya yang berasal dari USA. Dan kali ini mengikuti metode Dan Kaminsky, menunda full-disclosure dengan terlebih dahulu melakukan partial-disclosure yang memanfaatkan media hype. Hasilnya?! sebagian membuat masyarakat penasaran dan sebagian lain membuat masyarakat ketakutan karena tipe bugs-nya masih misterius.
Trik bisnis kah?! atau trik popularitas?! Don’t care. Yang pasti, tipe bugs-nya termasuk menarik untuk dibahas.
Dua jenis bugs yang mengikuti metode partial-disclsoure media hype Dan Kaminsky, dan keduanya sedang hangat dibahas saat ini. Yang pertama datang dari bidang webhacking, dan yang kedua datang dari bidang system hacking. Dan seperti biasa, keduanya ikut disulut dari salah satu mailing list tempat para researcher-researcher cerdas di bidang security berkumpul, Daily Dave mailing list.
Isu pertama datang dari kawasan webhacking mengenai “clickjacking”. Jeremiah Grossman dan Rsnake menunda full-disclosure mereka tentang clickjacking pada event OWASP ’08 dan menggantinya dengan sesi ‘ClickJacking 20-Questions’. Hal ini membuat masyarakat kembali dalam status ‘spekulasi’ mengenai bugs tersebut, karena Jeremiah dan Rsnake hanya memberikan penjelasan singkat tentang bugs tersebut. Hal ini mirip ketika Dan Kaminsky melakukan partial disclosure terhadap masyarakat dengan bugs DNS cache nya. Banyak pihak membicarakan mengenai clickjacking ini, diantaranya Giorgio Maone, Dave Aitel, hingga BeakingPoint Labs. Kita juga dapat melihat salah satu contoh spekulasi tersebut. Michal Zalewski juga ikut menjelaskan mengenai kemungkinan bugs ini serta memberikan solusi atas permasalahan tersebut. Media hyped semakin ramai dengan salah satu isi blog adobe mengenai clickjacking yang juga memberikan efek pada produk adobe.
Diantara semua, email penjelasan dari Michal Zalewski termasuk yang membuat media semakin heboh. Terutama karena salah satu solusi yang di-propose oleh dia untuk menangani masalah ini adalah ‘Rework everything we know about HTML / browser security models’. Well, at least semua researcher tersebut setuju bahwa kombinasi Mozilla Firefox + NoScript dapat mencegah user terkena efek serangan tersebut. Tapi seperti biasa, bugs ini rasanya tetap menarik untuk diikuti terutama jika mempengaruhi produk selain web browser.
Kandidat kedua untuk fans Dan’s Kaminksy partial-disclosure scenario adalah “New TCP Resource Exhaustion DOS (Denial of Service) Attack”. Fyodor (Nmap creator) baru saja hari ini menulis pada (again) mailing list Daily Dave mengenai spekulasinya terhadap jenis serangan Dos yang dikatakan ‘baru’ oleh Robert Lee dan Jack Louis. Berdasarkan keterangan Fyodor, basic jenis serangan tersebut sama sekali bukan jenis baru karena dia sudah meng-implementasikan nya pada tools Ndos beberapa tahun yang lalu namun tidak merilis tools tersebut, hanya menuliskan pada salah satu buku yang (bagian fyodor) juga di-buat free untuk dibaca secara online. I love fyodor ;).
Inti dari ‘New’ Dos tersebut terletak pada TCP Resource Exhaustion. Silahkan baca dengan cermat penjelasan Fyodor. Pada penjelasan tersebut kita dapat melihat bagaimana resource suatu sistem yang menggunakan protokol TCP/IP dapat dihabiskan. Sistem akan mengalokasikan beberapa resource-nya untuk menangani protokol TCP/IP dan penjelasan Fyodor diatas memperlihatkan bagaimana caranya menghabiskan resource tersebut secara cerdik.
Spekulasi tetaplah spekulasi, bisa jadi benar seperti yang terjadi pada bugs dns dan kaminsky, bisa jadi sebagian benar dalam arti memiliki pondasi yang mirip dengan spekulasi-spekulasi tersebut namun ‘sang penemu’ memiliki cara lain untuk meng-extend bugs tersebut, bisa jadi completely false! Dalam arti, spekulasi orang-orang diseluruh dunia salah dan sang penemu merupakan orang jenius yang mampu menemukan bugs tersebut sendirian tanpa bisa disamai oleh researcher manapun.
Setelah membaca penjelasan Fyodor mengenai tehnik Ndos, mungkin ada yang bersedia menghabiskan waktunya untuk develop tools tersebut?! mungkin bisa menjadi alternative lain selain menggunakan mekanisme tembak.c secara distribusi :).
As always, media hype security circus is interesting. Hm, break time is over (sambil makan buah terakhir), put back my butt to daily job..
6 Responses to “Dan Kaminsky’s hype fans”
Leave a Reply
Ada yang sadar gak tahun ini ada bugs yang bisa digunakan untuk mengubah entry table routing tanpa menyentuh sang router?? Bugs ini juga terjadi multi vendor dan banyak sekali software yang terkena dampaknya. Pelajaran yang bisa diambil dari kejadian Kaminsky, sebuah bugs menjadi “terlihat” sebagai “the most dangerous bugs of the year” juga tergantung dari cara memasarkannya. Semestinya kita disini kan peneliti security yang tidak hanya membaca sebuah “news” dan percaya pada tulisan orang lain (baca : konsumen security). Atau paradigma yang ada memang mendoktrin kita menjadi konsumen?
Well, sampai saat ini saya percaya bugs terparah yang menimpa interkoneksi antar komputer sepanjang sejarah adalah bugs ARP yang bisa di poison, ada yang komplain?!
menarik sekali bro.
ngomong apaan sih?
#1 Yoi, Masih punya login ke blog kan?tolong ikt di update blog nya agar juga berisi analisis tentang bugs ini / bugs lain secara teknikal, jd selain “Filed under: news” bisa ada tambahan tulisan lain “Filed under: Journal”. Ok bro?! :).
Surely brother, i’ll try to write in my spare times 🙂
http://www.wired.com/techbiz/people/magazine/16-12/ff_kaminsky
🙂
few news about kaminsky….
he let into a secret about DNS,,