| Kriptópolis alojado en |
| Zilos-Veloxia Network |
| Tu mejor defensa: |
| Bufet Almeida |
Filtrados detalles del ataque de Kaminsky
Enviado por admin el 22. Julio 2008 - 10:24.
Aunque Kaminsky trataba de dar un plazo para que los servidores DNS fueran parcheados adecuadamente, vuelve a comprobarse que no es nada fácil guardar un secreto desde que existe Internet.
Slashdot cuenta hoy como las especulaciones de un experto en torno a la vulnerabilidad soltaron la lengua de otro experto que sabía algo más, y aunque su post ha sido luego retirado, Internet ya lo ha incorporado a su memoria.
Se complican pues las cosas y los exploits pueden correr ahora más rápido que los parches...
Referencias:
- Kaminsky's DNS Attack Disclosed, Then Pulled [Slashdot].
- Kaminsky DNS attack leaked [Frecuency X Blog, con varios enlaces de interés].
Relacionadas en Kriptópolis:
No creo que sea tan dificil.
No he rebuscado para encontrar la explicación pero creo que en este mismo sitio se dio suficientes datos como para que cualquiera que sepa como fabricar paquetes udp a bajo nivel pueda intentar un exploit. Se dijo que el error era hacer los pedidos siempre desde el mismo puerto, con lo que se hace obvio que el ataque consiste en enviar respuestas falsas a los servidores de nombres con dirección de origen en el dns verdadero y destino en el dns de un proveedor de internet. Obviamente esto se debería hacer en el momento justo en que está consultándose un nombre, pero eso se puede forzar muy fácil: comenzar a enviar respuestas falsas al DNS de un ISP y después enviar una consulta al mismo con respecto a DNS a falsificar. Lo más seguro es que la respuesta falsa llegue antes que la verdadera, ya que han sido enviadas muchas de ellas incluso antes de que se hiciera la pregunta.
Y el DNS de Telefónica
Y el DNS de Telefónica sigue siendo vulnerable...
Algunas empresillas de poca monta...
Desde que salio el parche de turno, estoy esperando a que me autorizen para poder aplicarlo, pero mi jefe esta más preocupado de las obras de remodelación de la fachada que de dejar un poco de autonomia y poder de decisión de los que al fin y al cabo administramos los servidores.
En una empresa muchas veces la burocracia la termina matando... y os aseguro que si yo no digo nada, nos podemos quedar con el bug abierto años y años...
Eso si, como el socio mayoritario se vea afectado, todos me van a pedir explicaciones y todos a correr... que triste trabajar de sysadmin en una empresa de besugos IT :-)
Que diferencia
¿Y que sistema operativo tienen tus servidores? Porque yo ya he optado por instalar automáticamente las actualizaciones todas las noches. He actualizado tantas veces sin el más mínimo problema que ahora dejo que se haga solo.
red hat
En un sistema en producción, no veo muy conveniente hacer actualizaciones automáticas.
Los dns de mi empresa usan bind bajo red hat.
Es muy probable que no ocurra absolutamente nada, pero son un servicio crítico para clientes en un data center y se ha programado una actuación en horario de menor impacto para realizar esta actualización.
Sistema en producción
Tal como dije, en mis servidores en producción he actualizado manualmente tantas veces sin el más mínimo inconveniente que ya opté por ponerlo en el cron. Claro que como en mi estación de trabajo y en mi casa también tengo la misma versión, si hubiera problemas me enteraría al momento. Pero bueno, realmente no veo qué pueda pasar porque como nunca me ha pasado nada notable que requiera más que parar y volver a arrancar el servicio en cuestión para que tomara las actualizaciones...
Te equivocas desde el principio...
... yo directamente opté por actualizar las maquinas primero y luego decirle a mi jefe que las habia actualizado :)
Como nos protegemos?
Visto que las operadoras no están por la labor... me gustaria saber si hay alguna forma de que los usuarios finales nos protejamos de esta vulnerabilidad.
A todo esto, es denunciable que mi ISP no esté parcheado existiendo ya una cura a este bug?
Gracias.
Otro DNS
Tal como se habló en los comentarios del artículo que hablaba de este problema, la solución, a demás de parchar tu propio sistema, es utlizar otro DNS que no sea el de tu proveedor.
Cualquiera te sirve. En mi caso yo siempre he preferido instalar uno propio, pero también recomendaron OpenDNS.
Por si no sabes como instalar tu propio servidor de DNS, te explico porque es muy fácil: entras al manejador de paquetes e instalas el paquete BIND. Entras al manejador del init y te aseguras de que el servidor de nombres arranque en el inicio (probablemente esto no sea necesario porque el instalador lo hará por tí pero con verificar no se pierde nada), y entras en el manejador de red y pones 127.0.0.1 como DNS, no necesitas poner un DNS secundario.
;)
Claro, usa las DNS
Claro, usa las DNS de OpenDNS en vez de las que te facilita tu proveedor, irán algo más lentas pero estarán parcheadas (la diferencia entre las de orange y las de OpenDNS era de 30 ms).
Opinar