Dar unii dintre colegii lui Kaminsky nu au fost impresionati. Asta pentru că a încălcat una dintre regulile cardinale de dezvăluire: publicarea unui defect fără a furniza detaliile tehnice pentru a-și verifica constatările. Miercuri, el a făcut lucrurile un pas mai departe pe blogul său, cerând hackerilor să evite cercetarea problemei până în luna următoare, când intenționează să publice mai multe informații despre el la conferința de securitate Black Hat. streaming media și copie de siguranță]

Marți, totuși, Kaminsky a ținut înapoi să dezvăluie detaliile tehnice ale descoperirii sale.

El a spus că dorește să facă publice această problemă pentru a exercita presiuni asupra personalului IT al companiei și asupra furnizorilor de servicii de Internet pentru a-și actualiza software-ul DNS, în timp ce îi ține pe cei răi în întuneric despre natura exactă a problemei. O dezvăluire completă a detaliilor tehnice ar face ca Internetul să fie nesigur, a declarat el într-un interviu miercuri. "În momentul de față, niciunul dintre aceste lucruri nu trebuie să facă publicitate."

El a primit rapid o reacție sceptică din partea cercetătorului de securitate Matasano, Thomas Ptacek, care a blogat că atacul de otrăvire în cache al lui Kaminsky este doar una dintre multele dezvăluiri subliniind aceeași problemă cunoscută cu DNS - că nu face o treabă destul de bună în crearea numerelor aleatoare pentru a crea șiruri de identificare "ID de sesiune" unice atunci când comunică cu alte computere de pe Internet.

"Problema din DNS este că are o eroare de 16 biți ID-ul sesiunii ", a declarat el miercuri printr-un e-mail. "Nu puteți implementa o nouă aplicație Web cu mai puțin de 128 de biți ID-uri de sesiune. Știm despre această problemă fundamentală încă din anii '90."

"Aici vine atacul de interviuri și explozia mass-media pentru un alt bug de Dan Kaminsky ", a scris un poster jaded (și anonim) pe blogul Matasano.

Peste la SANS Internet Storm Center, un blog de securitate foarte respectat, un blogger a speculat că eroarea lui Kaminsky a fost dezvăluită cu trei ani mai devreme.

Kaminsky, director al testelor de penetrare cu vânzătorul de securitate IOActive, a declarat că a fost "surprins vag" de o reacție negativă, dar acest tip de scepticism a fost vital pentru comunitatea hackerilor. "Rușesc regulile", a recunoscut el. "Nu există suficiente informații în consiliere pentru a descoperi atacul și mă laud la asta."

Potrivit expertului DNS, Paul Vixie, unul dintre puținele persoane care a primit o informare detaliată asupra constatării lui Kaminsky, este diferit de problema raportată acum trei ani de către SANS. În timp ce defectul lui Kaminsky se află în aceeași zonă, "este o problemă diferită", a declarat Vixie, președintele consorțiului Internet Systems, producătorul celui mai utilizat software de servere DNS pe Internet. ar trebui să fie patch-uri imediat, a spus David Dagon, un cercetător DNS la Georgia Tech, care a fost, de asemenea, informat cu privire la bug-ul. "Cu detalii rare, câțiva au pus la îndoială dacă Dan Kaminsky a reambalat munca mai veche în atacurile DNS", a spus el într-un interviu prin poștă electronică. "Nu este fezabil să credem că furnizorii DNS ai lumii ar fi patch-uri și anunțați în mod unison fără nici un motiv."

Până la sfârșitul zilei, Kaminsky și-a schimbat chiar și criticul cel mai vocal, Ptacek din Matasano, care a emis o retragere pe acest blog după ce Kaminsky a explicat detaliile cercetărilor sale prin telefon. - Are mărfurile, spuse Ptacek după aceea. În timp ce atacul se bazează pe cercetările anterioare privind DNS, atacurile de intoxicare cu cache se pot extrage extrem de ușor. "El a făcut destul de mult pentru a puncta și faceți clic într-o măsură pe care nu am văzut venind."

Criteriile rămase ale lui Kaminsky vor trebui să aștepte până când prezentarea lui Black Hat pe 7 august va fi sigură.

Cercetătorul de securitate a spus că speră că vor apărea pentru discuțiile sale. - Dacă nu am exploatarea, spuse el. "Mă merit fiecare bucată de mânie și neîncredere."