發現 DNS 漏洞拯救網際網路的駭客 Dan Kaminsky 過世,享年僅 42 歲

作者 | 發布日期 2021 年 04 月 26 日 12:09 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


北美時間 4 月 23 日,安全研究員 Marc Rogers 在 Twitter 發消息,稱丹‧卡明斯基(Dan Kaminsky)已經去世。

Marc Rogers 表示:

我想現在已經無法掩飾了。昨天,我們失去了丹·卡明斯基。他是訊息安全領域最耀眼的明星之一,也可能是我認識最善良的靈魂。

Dan Kaminsky 的生命,永遠停在 42 歲。關於他的死亡原因,目前尚未公開。

發現 DNS 漏洞,一戰成名

Dan Kaminsky 最早被大眾所知,是在 2008 年。他發現網際網路域名系統(DNS)的底層設計漏洞,使人們數十年構建的網際網路安全體系轟然倒塌,讓網路大規模癱瘓。

2008 年 7 月 8 日, Dan Kaminsky 指出 DNS 漏洞將導致用戶瀏覽到偽造網站,郵件可能發送到錯誤方向。危害不僅如此,DNS 是整個網際網路的心臟,SSL 要求你有證書,但取得證書需要透過過 email 發送 DNS,如果 DNS 崩潰,SSL 根本無法安全工作。

這個漏洞有多可怕,Dan Kaminsky 採訪時透露,「在這漏洞下,一個駭客可在 10 秒內發動 65,000 次攻擊。」

雖然 Dan Kaminsky 最早發現 DNS 漏洞,但他並未藉此「敲詐」一筆,而是選擇另一條康莊大道;這也是 Dan Kaminsky 一貫的做事風格,他曾表示:

如果你發現一個安全漏洞,這漏洞可能影響很多人,你有三件事要做。

第一,找到漏洞,這並不難,不需要花太多時間。

接著,你需要寫修補程式,但因牽扯到太多公司,我們必須找到一個辦法,讓這些公司坐在一起商談,我們要讓很多人明白這件事的重要性。

但這仍不夠,因漏洞是結構性漏洞,我們第三步必須在讓那些網路運營者知道漏洞,說服他們升級系統。我們做好修補程式,需要他們測試。

DNS 漏洞這件事,Dan Kaminsky 同樣這麼做。Dan Kaminsky 與 DNS 供應商 16 名軟體開發人員祕密合作,開發修補程式,然後讓軟體、硬體供應商(包括微軟、思科等)及時發布修補程式,避免漏洞的危害。

當時,1 億 2 千萬寬頻用戶得到保護。網站最初測試的用戶中,84% 電腦有漏洞,之後數字變成 30%,這就是 Dan Kaminsky 努力後的結果。

後來漏洞命名為「卡明斯基漏洞」。如今網路安全界巨星隕落,願逝者安息。

(本文由 雷鋒網 授權轉載;首圖來源:丹·卡明斯基, CC BY 3.0, via Wikimedia Commons)