Estas aquiContenido / Vuelta a empezar: el parche para DNS no resuelve el problema
Vuelta a empezar: el parche para DNS no resuelve el problema
Era sabido que el parcheo de los servidores DNS frente a la vulnerabilidad presentada por Kaminsky representaba sólo un alivio temporal, pero nadie sospechó que durará tan poco.
Hoy mismo, Evgeniy Polyakov se ha encargado de demostrar (exploit incluido) cómo un servidor DNS corriendo BIND con la última versión perfectamente parcheada continúa siendo vulnerable al envenenamiento de la caché.
El propio Polyakov se encarga de desmentir que se trate de una vulnerabilidad exclusiva de BIND, sino que todo el sistema DNS, aún parcheado, continúa siendo vulnerable, sólo que ahora se requiere un poco más de tiempo... que quizás incluso pudiera acortarse mediante un ataque distribuido.
Para Polyakov tampoco DNSSEC supone ninguna solución definitiva, aunque sí otro alivio temporal más duradero. Sin embargo otros expertos (como Bernstein) opinan que su seguridad es sorprendentemente baja y su funcionamiento mucho más lento y pesado. Polyakov contraataca diciendo que el sistema DJBDNS, ideado por Berstein, también es vulnerable...
Referencias:
- Successfully poisoned the latest BIND with fully randomized ports! [Blog de Evgeniy Polyakov].
- Leaks in Patch for Web Security Hole [The New York Times].
- Seguimiento completo de la vulnerabilidad en DNS [Kriptópolis].
Perdonad la pregunta tan simple, pero, ¿una solución casera un tanto funcional no es comprobar la IP del sitio donde estamos? Por ejemplo, navegando con Firefox y una extensión que muestre la IP del site que estemos viendo, comprobamos en alguna página de whois que la IP efectivamente corresponde al sitio que vemos. Es decir, la IP de Kriptópolis ahora mismo es 213.149.236.75, haciendo un whois tengo,
IP Location: Spain Spain Barcelona Veloxia Network
IP Address: 213.149.236.75 [Whois] [Reverse-Ip] [Ping] [DNS Lookup] [Traceroute]
SSL Cert: www.kriptopolis.org SSL Certificate has expired.
Es bastante razonable concluir que estoy viendo Kriptópolis-el-original :P... ¿no?
Ya puestos pon directamente las IPs, no uses los nombres. Entonces no tendrás que preocuparte por los DNS, pero te vas a hartar pronto de ir poniendo numeritos ;-)
Eso sin contar que a menudo un mismo nombre corresponde a varias IPs, por aquella de distribuir el trabajo.
No puedes ir comprobando todas y cada una de las IPs que visitas, de eso se encargan los DNS.
Para eso están los favoritos/marcadores. En todo caso, no se trata de hacerlo con *todas* las webs: francamente, me daría igual que se me redireccionara a un YouTube falso. Es más, puede que saliera ganando.
Para esos extremos, se impone una modificación del archivo HOSTS.
Tendrás que comprobar en otra página de whois si la IP de esa primera página de whois es la-página-de-whois-original :P
mmm, sip, estaria bueno, salvo que al hacer whois, estarias consultando contra un DNS..., por lo que si este fue atacado, te devolveria una respuesta que no es.. asi que estamos en la misma.
Saludos
Según recuerdo DJB ofrecía un premio de u$s 1000.00 a quién encontrase una vulnerabilidad al djbdns o al qmail compilado sin modificaciones del fuente original.
A este paso, vamos a tener que ir sitio por sitio (al menos, los de usuario y contraseña) pidiendo la IP por correo ordinario.
Ni por esas nos libramos; ¿o no tienes un vecino mirón que se encarga de hurgar en otros buzones postales? ¿Nunca te han robado/leído una revista en el buzón?
Propio de la estupidez. Y no hay parche válido para la estupidez humana (ya que kriptópolis está ahora con la "stupid mood" :D ;), puesto que 'estúpido' y 'humano' son implícitos recíprocamente....
En fin, a la mierda todo. :D
Pues yo me voy a guardar en favoritos ahora mismo las IPs de Gmail, mi banco y mi ISP que son los sitios donde tengo información más importante. No sé, por intentar capear el temporal..