本周六，安全研究員 Marc Rogers 在推特上發(fā)布一則消息，稱 Dan Kaminsky 已經(jīng)去世。Marc Rogers 表示：

我想現(xiàn)在已經(jīng)無法掩飾了。昨天，我們失去了丹·卡明斯基。他是信息安全領(lǐng)域最耀眼的明星之一，也可能是我認識的最善良的靈魂。

Dan Kaminsky 的生命，永遠停在了 42 歲這一年。

關(guān)于他的死亡原因，目前尚未公開。

發(fā)現(xiàn)DNS漏洞，一戰(zhàn)成名

Dan Kaminsky 最早被大眾所知，是在 2008 年。

當時，他發(fā)現(xiàn)了互聯(lián)網(wǎng)域名系統(tǒng)(DNS)的底層設(shè)計漏洞，這個漏洞能夠使得人們數(shù)十年構(gòu)建的互聯(lián)網(wǎng)安全體系轟然倒塌，讓互聯(lián)網(wǎng)大規(guī)模癱瘓。

2008 年 7 月 8 日， Dan Kaminsky 指出 DNS 漏洞將導致用戶瀏覽到偽造的網(wǎng)站，郵件可能被發(fā)送到錯誤的方向。危害不僅僅如此，DNS 是整個 Internet 的心臟，SSL 要求你得到證書，但要獲取證書你需要 DNS 并通過 email 發(fā)送，如果 DNS 崩潰了，SSL 根本就無法安全地工作。

這個漏洞有多可怕，Dan Kaminsky 曾在一次采訪中透露，“在這個漏洞下，一個黑客可以在 10 秒內(nèi)發(fā)起 65000 次攻擊”。

雖然 Dan Kaminsky 最早發(fā)現(xiàn)了 DNS 漏洞，但他并未借此“敲詐一筆”，而是選擇另一條康莊大道;這也是 Dan Kaminsky 一以貫之的做事風格，他曾在采訪中表示：

如果你發(fā)現(xiàn)了一個安全漏洞，這個漏洞可能影響很多人，你將有三件事要做。

第一，找到漏洞，這并不難，不需要花太多時間;接著，你需要寫一個補丁，因為寫補丁牽扯到太多公司，我們必須找到一個辦法，讓這些公司坐到一起商談，我們要讓很多人明白這件事的重要性。

但這仍不夠，因為這個漏洞是結(jié)構(gòu)性漏洞，我們第三步必須在讓那些網(wǎng)絡運營者知道這個漏洞，說服他們升級系統(tǒng)。我們做出了補丁，需要他們參與測試。

在 DNS 漏洞這件事上，Dan Kaminsky 同樣是這么做的。

Dan Kaminsky 與 DNS 供應商的 16 名軟件開發(fā)人員展開秘密合作，開發(fā)了補丁，然后讓軟件、硬件供應商(包括微軟、思科等)及時為其產(chǎn)品發(fā)布了補丁，避免了漏洞帶來網(wǎng)絡危害。

當時，1 億 2000 萬寬帶用戶得到保護。在網(wǎng)站最初進行測試的用戶中，84% 人的電腦存在漏洞，之后這一數(shù)據(jù)變?yōu)?30%，這就是 Dan Kaminsky 努力之后得到的結(jié)果。

后來，這個漏洞被命名為“卡明斯基漏洞”。

如今，網(wǎng)絡安全界的這一巨星悄然隕落 ，愿逝者安息。

關(guān)鍵詞： 黑客