Vuelta a empezar: el parche para DNS no resuelve el problema

Enviado por admin el 9. Agosto 2008 - 22:08.

Era sabido que el parcheo de los servidores DNS frente a la vulnerabilidad presentada por Kaminsky representaba sólo un alivio temporal, pero nadie sospechó que durará tan poco.

Hoy mismo, Evgeniy Polyakov se ha encargado de demostrar (exploit incluido) cómo un servidor DNS corriendo BIND con la última versión perfectamente parcheada continúa siendo vulnerable al envenenamiento de la caché.

El propio Polyakov se encarga de desmentir que se trate de una vulnerabilidad exclusiva de BIND, sino que todo el sistema DNS, aún parcheado, continúa siendo vulnerable, sólo que ahora se requiere un poco más de tiempo... que quizás incluso pudiera acortarse mediante un ataque distribuido.

Para Polyakov tampoco DNSSEC supone ninguna solución definitiva, aunque sí otro alivio temporal más duradero. Sin embargo otros expertos (como Bernstein) opinan que su seguridad es sorprendentemente baja y su funcionamiento mucho más lento y pesado. Polyakov contraataca diciendo que el sistema DJBDNS, ideado por Berstein, también es vulnerable...

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Duda

Enviado por anónimo el 9. Agosto 2008 - 23:26.

Perdonad la pregunta tan simple, pero, ¿una solución casera un tanto funcional no es comprobar la IP del sitio donde estamos? Por ejemplo, navegando con Firefox y una extensión que muestre la IP del site que estemos viendo, comprobamos en alguna página de whois que la IP efectivamente corresponde al sitio que vemos. Es decir, la IP de Kriptópolis ahora mismo es 213.149.236.75, haciendo un whois tengo,
IP Location: Spain Spain Barcelona Veloxia Network
IP Address: 213.149.236.75 [Whois] [Reverse-Ip] [Ping] [DNS Lookup] [Traceroute]
SSL Cert: www.kriptopolis.org SSL Certificate has expired.
Es bastante razonable concluir que estoy viendo Kriptópolis-el-original :P... ¿no?

De esto justamente trata el DNS

Enviado por anónimo el 10. Agosto 2008 - 9:42.

Ya puestos pon directamente las IPs, no uses los nombres. Entonces no tendrás que preocuparte por los DNS, pero te vas a hartar pronto de ir poniendo numeritos ;-)

Eso sin contar que a menudo un mismo nombre corresponde a varias IPs, por aquella de distribuir el trabajo.

No puedes ir comprobando todas y cada una de las IPs que visitas, de eso se encargan los DNS.

Para eso están los favoritos

Enviado por mced el 10. Agosto 2008 - 19:00.

Te vas a hartar pronto de ir poniendo numeritos

Para eso están los favoritos/marcadores. En todo caso, no se trata de hacerlo con *todas* las webs: francamente, me daría igual que se me redireccionara a un YouTube falso. Es más, puede que saliera ganando.

Eso sin contar que a menudo un mismo nombre corresponde a varias IPs, por aquella de distribuir el trabajo.

Para esos extremos, se impone una modificación del archivo HOSTS.

Primer nivel de paranoia

Enviado por mced el 10. Agosto 2008 - 11:01.

comprobamos en alguna página de whois que

Tendrás que comprobar en otra página de whois si la IP de esa primera página de whois es la-página-de-whois-original :P

estamos en la misma

Enviado por anónimo el 10. Agosto 2008 - 13:09.

mmm, sip, estaria bueno, salvo que al hacer whois, estarias consultando contra un DNS..., por lo que si este fue atacado, te devolveria una respuesta que no es.. asi que estamos en la misma.

Saludos

Entonces ganó el premio de DJB?

Enviado por anónimo el 10. Agosto 2008 - 1:35.

Según recuerdo DJB ofrecía un premio de u$s 1000.00 a quién encontrase una vulnerabilidad al djbdns o al qmail compilado sin modificaciones del fuente original.

No exactamente...

Enviado por anónimo el 10. Agosto 2008 - 10:08.

The djbdns security guarantee:

I offer $500 to the first person to publicly report a verifiable security hole in the latest version of djbdns.

Examples of security holes:

* Buffer overflows allowing attackers to take over DNS caches, such as the NXT bug in BIND before 8.2.2-P4 (1999), or the TSIG bug in BIND before 8.2.3 (2001), or the SIG bug in BIND before 4.9.11/8.3.4 (2002).

* Buffer overflows allowing attackers to take over DNS servers, such as the IQUERY bug in BIND before 8.1.2-T3B (1998).

* Buffer overflows allowing attackers to take over DNS clients, such as the CNAME bug in BIND's libresolv before 4.9.9/8.2.6/8.3.3/9.2.2 (2002), or the getnetbyname bug in BIND's libresolv before 4.9.11 (2002).

* Buffer overflows allowing attackers to take over DNS utilities.

Examples of problems that do not qualify:

* Bugs outside of djbdns, such as OS bugs or browser bugs. (People could seize control of BIND 9.1 through an OpenSSL buffer overflow, but that was a bug in OpenSSL, not in BIND.)

* The vulnerability of DNS to forgery. (BIND's port reuse makes blind forgery much less expensive, but this is a quantitative difference, not a qualitative difference. The DNS architecture needs cryptographic protection.)

* Denial-of-service attacks. (BIND 9's fragility makes denial of service completely trivial; but an attacker can easily take down the Domain Name System without using any of BIND's bugs. The DNS architecture needs to be decentralized.)

My judgment is final as to what constitutes a security hole in djbdns. Any disputes will be reported here.

Buf

Enviado por mced el 10. Agosto 2008 - 6:49.

A este paso, vamos a tener que ir sitio por sitio (al menos, los de usuario y contraseña) pidiendo la IP por correo ordinario.

Pos ni por esas

Enviado por anónimo el 11. Agosto 2008 - 7:29.

Ni por esas nos libramos; ¿o no tienes un vecino mirón que se encarga de hurgar en otros buzones postales? ¿Nunca te han robado/leído una revista en el buzón?

Propio de la estupidez. Y no hay parche válido para la estupidez humana (ya que kriptópolis está ahora con la "stupid mood" :D ;), puesto que 'estúpido' y 'humano' son implícitos recíprocamente....

En fin, a la mierda todo. :D

IPs a pelo

Enviado por anónimo el 10. Agosto 2008 - 9:11.

Pues yo me voy a guardar en favoritos ahora mismo las IPs de Gmail, mi banco y mi ISP que son los sitios donde tengo información más importante. No sé, por intentar capear el temporal..

123siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
9 + 11 =
Resuelve esta sencilla operación e introduce el resultado.