Kaminsky ทำข่าวพาดหัวเมื่อวันอังคารโดย พูดคุยเกี่ยวกับข้อบกพร่องที่สำคัญใน DNS (Domain Name System) ที่ใช้ในการเชื่อมต่อคอมพิวเตอร์กับแต่ละอื่น ๆ บนอินเทอร์เน็ต ในช่วงปลายเดือนมีนาคมที่ผ่านมาเขาได้รวมกลุ่ม บริษัท ต่างๆ 16 แห่งที่ทำซอฟต์แวร์ DNS เช่น Microsoft, Cisco และ Sun Microsystems - และได้พูดคุยกับพวกเขาในการแก้ไขปัญหาและร่วมกันออกแพทช์ต่างๆดังกล่าว

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับ สตรีมมิ่งสื่อและการสำรองข้อมูล]

ข้อบกพร่องดูเหมือนจะเป็นเรื่องร้ายแรงที่อาจใช้ประโยชน์ได้ในสิ่งที่เรียกว่า การโจมตีเหล่านี้เป็นการแฮ็กระบบ DNS โดยใช้มันเพื่อเปลี่ยนเส้นทางผู้ที่ตกเป็นเหยื่อไปยังเว็บไซต์ที่เป็นอันตรายโดยปราศจากความรู้ พวกเขารู้จักกันมาหลายปีมาแล้ว แต่ก็ยากที่จะดึงออกมา แต่ Kaminsky อ้างว่าได้พบวิธีที่มีประสิทธิภาพมากในการเปิดตัวการโจมตีดังกล่าวด้วยความเสี่ยงในการออกแบบโปรโตคอล DNS เอง

ในวันอังคารที่อย่างไรก็ตาม Kaminsky ได้ยกเลิกการเปิดเผยรายละเอียดทางเทคนิคของการค้นพบของเขา

เขากล่าวว่าเขาต้องการที่จะเผยแพร่เรื่องนี้เพื่อสร้างแรงกดดันให้กับพนักงานไอทีของ บริษัท และผู้ให้บริการอินเทอร์เน็ตในการปรับปรุงซอฟต์แวร์ DNS ของพวกเขาในขณะเดียวกันก็รักษาคนเลวไว้ในที่มืดเกี่ยวกับธรรมชาติที่แม่นยำของปัญหา การเปิดเผยรายละเอียดทางเทคนิคอย่างเปิดเผยต่อสาธารณะจะทำให้อินเทอร์เน็ตไม่ปลอดภัยเขากล่าวในการสัมภาษณ์เมื่อวันพุธ "ตอนนี้ไม่มีเรื่องใดที่ต้องเปิดเผย"

เขาได้รับการตอบรับอย่างรวดเร็วจากนักวิจัย Thomas Ptacek จาก Matasano Security ผู้ซึ่งบล็อกว่าการโจมตี Kaminsky's cache poisoning เป็นเพียงหนึ่งในหลาย ๆ ข้อมูลที่กล่าวถึงปัญหาเดียวกันนี้ กับ DNS - ว่ามันไม่ได้งานที่ดีพอในการสร้างตัวเลขสุ่มเพื่อสร้างสตริง "ID เซสชั่น" ที่ไม่ซ้ำกันเมื่อสื่อสารกับคอมพิวเตอร์เครื่องอื่นบนอินเทอร์เน็ต

"ข้อผิดพลาดใน DNS คือว่ามันมี 16 บิต session ID "เขากล่าวผ่านอีเมลวันพุธ "คุณไม่สามารถใช้แอพพลิเคชั่นเว็บตัวใหม่ที่มี ID เซสชั่นที่น้อยกว่า 128 บิตเรารู้เรื่องปัญหาพื้นฐานตั้งแต่ยุค 90"

"การโจมตีและการระเบิดของสื่อต่างๆ โดย Dan Kaminsky "เขียนโปสเตอร์ที่น่าสนใจ (และไม่ประสงค์ออกนาม) ลงในบล็อก Matasano

ที่ SANS Internet Storm Center ซึ่งเป็นบล็อกความปลอดภัยที่ได้รับความเคารพอย่างสูง blogger คนหนึ่งคาดการณ์ว่าข้อบกพร่องของ Kaminsky ได้รับการเปิดเผยเมื่อสามปีก่อน <

Kaminsky ผู้ซึ่งเป็นผู้อำนวยการฝ่ายทดสอบการเจาะระบบกับ IOActive ผู้ให้บริการด้านความปลอดภัยกล่าวว่าเขารู้สึกประหลาดใจเล็กน้อยจากปฏิกิริยาเชิงลบบางอย่าง แต่ความสงสัยชนิดนี้มีความสำคัญต่อชุมชนแฮ็กเกอร์ "ฉันทำลายกฎ" เขายอมรับ "มีข้อมูลไม่เพียงพอในการให้คำปรึกษาเพื่อค้นหาการโจมตีและฉันโม้เกี่ยวกับเรื่องนี้"

ตามที่ผู้เชี่ยวชาญ DNS Paul Vixie หนึ่งในไม่กี่คนที่ได้รับรายละเอียดเกี่ยวกับการค้นพบของ Kaminsky ก็คือ แตกต่างจากปัญหาที่รายงานเมื่อสามปีก่อนโดย SANS Vixie ซึ่งเป็นประธานของ Internet Systems Consortium ผู้ผลิตซอฟต์แวร์เซิร์ฟเวอร์ DNS ที่ใช้งานกันอย่างแพร่หลายบนอินเทอร์เน็ต

ประเด็นนี้เป็นเรื่องเร่งด่วนและ David Dagon นักวิจัยด้าน DNS ของ Georgia Tech ผู้ซึ่งได้รับฟังข้อสรุปเกี่ยวกับข้อบกพร่องดังกล่าว "มีรายละเอียดน้อยมีไม่กี่คนถามว่า Dan Kaminsky ได้บรรจุใหม่ทำงานเก่าในการโจมตี DNS" เขากล่าวในการสัมภาษณ์ทางอีเมล "เป็นไปไม่ได้ที่จะคิดว่าผู้จำหน่าย DNS ของโลกจะได้รับการติดตั้งและประกาศพร้อมกันโดยไม่มีเหตุผล"

จนถึงสิ้นวัน Kaminsky ได้หันมาวิจารณ์เสียงส่วนใหญ่ของเขา Matasano Ptacek ผู้ออกถอยหลังในบล็อกนี้หลังจาก Kaminsky อธิบายรายละเอียดของการวิจัยของเขาทางโทรศัพท์ "เขามีสินค้า" Ptacek กล่าวภายหลัง ในขณะที่การโจมตีสร้างจากการวิจัย DNS ก่อนหน้านี้จะทำให้การโจมตีของแคชสามารถทำได้ง่ายมาก นักวิจารณ์ของ Kaminsky จะต้องรอจนกว่าการนำเสนอของ Black Hat ในวันที่ 7 สิงหาคมจะเป็นที่แน่ชัด

นักวิจัยด้านความมั่นคงกล่าวว่าเขาหวังว่าพวกเขาจะแสดงความคิดเห็น "ถ้าฉันไม่มีประโยชน์" เขากล่าว "ฉันสมควรได้รับความโกรธและความไม่ไว้วางใจทุกส่วน"