Názory k článku Internet ohrozila největší bezpečnostní hrozba desetiletí
-
Mělo, ale z reakcí jsem tak nějak vysledoval, že se do toho nikomu moc nechce.
S TCP je mimo jiné i problém, že to není jenom trojnásobný počet paketů, ale někdo ty spojení musí udržovat. Ať už server nebo routery po cestě, atp... Zatímco UDP je přijmu paket, zpracuju, pošlu odpověď, zapomenu. Bylo by o dost jednodušší cokoli zaDoSovat. Nezapomeňte, že se bavíme o provozu, kde nejsou neobvyklé stovky, tisíce (někde možná i více) dotazů za sekundu. -
Yenya (neregistrovaný)Když on DNSSEC znamená příliš velkou změnu infrastruktury. Přemýšlel jsem, jestli by nestačilo, kdyby forwardovací DNS server nejprve zkoušel TCP, a pak až UDP. To by přece (za cenu cca 3x víc packetů) mělo problém podvržených odpovědí řešit, ne?
-Yenya, http://www.fi.muni.cz/~kas/ -
Martin (neregistrovaný)Dokonce i technt to má s chybkou, asi vykradl Lupu... :-) http://technet.idnes.cz/pozor-mozna-i-vase-internetove-pripojeni-je-zranitelne-pomozte-nam-otestovat-ceska-dns-gum-/sw_internet.asp?c=A080808_130923_bezpecnost_pka
-
Článek je myslím dobře napsaný a čtivý, ale chybí mu to nejdůležitější. Dan Kaminsky totiž přišel na to, jak přepsat cache DNS serveru a tím útok zrealizovat kdykoliv se útočníkovi zachce. Jinak by útočník musel čekat na to, než vyprší TTL, které ani nemusí znát.
Princip útoku spočívá v tom, že se zeptám na nějaký náhodný neexistující záznam a v odpovědi pošlu také
AUTHORITYaADDITIONALsekci, ve které uvedu IP adresu serveru, který chci podvrhnout. Podrobně to je popsané v článku na .blog. -
Pokud máte banku déle než jeden rok, tak už určitě alespoň jednou vyměnila certifikát. Všiml jste si toho? Ne, takhle to nefunguje, pokud je certifikát podepsaný důvěryhodnou certifikační autoritou, tak se vám dole/nahoře objeví zámeček a je hotovo.
A co byste s tou informací udělal? Koukl se k nim na web (a adresu zjistil přes DNS)? Nebo jim zavolal na helpdesk (a telefon zjistil na webu, jehož adresu byste zjistil přes DNS)? -
bnvbv (neregistrovaný)Tak tohle me zajima, protoze tomu zase tolik nerozumim.
Lze tedy aspon rict, ze kdyz uz mam od banky certifikat pro https z drivejsi doby (doufejme ze spravny), tak ze v pripade utoku mi utocnik zkusi podstrcit jiny certifikat? Predpokladam, ze neceho takoveho by si mel prohlizec vsimnout a upozornit me. -
Unbound je na světě chviličku. Nic jiného bych si na tak velkou instalaci nedovolil nasadit. Resp. ještě se používá CNS od Nominumu, ale to je tak asi všechno.
A bez konkrétní znalosti jejich infrastruktury a implementace DNS bych se neodvážil nic takového jako vy tvrdit.
Nehledě na to, že vaše logika je pokřivená. S bindem problém nebyl (i když nikde jsem neviděl, že by zrovna O2 používala Bind a zjišťovat se mi to nechce). A ve chvíli, kdy problém začal být, tak snad nechcete naznačit, že kluci z outů měli skočit na google a jen tak narychlo nasadit třeba Unbound, protože se jim líbí jeho modré oči?
Další stránka věci může být v tom, že například na DNS můžou mít nasmlouvané nějaké záruky od dodavatele a dodavatel záplaty nedodal.
Z prohlášení tiskové mluvčí to asi těžko rozkódujeme, že? -
Více informací ohledně Kaminsky-style útoku na DNS najdete na firemním blogu CZ.NICu: DNS útok podle Kaminského.
-
dnssec_rules (neregistrovaný)To se bobani z outů bojí používat google a najít si nějakou optimální alternativu k bindu, když s ním mají problémy? Třeba takové servery jako pdns-recursor, unbound, nebo maradns žádnou opravu ani nepotřebovali, jsou napsané velmi inteligentně s důrazem na bezpečnost a jsou daleko rychlejší, než bind. Jinak kde že kyslík nasazuje záplaty? Já mám stále freedns od vpn, bublidns se mi stále hlásí děravé... Shitt
-
Nejsem si uplne jisty, zda-li je spravne doporucovat OpenDNS jako reseni. Kdyz pominu fakt, ze nejake nezname firme vydavam voditka k tomu, aby zjistila, kam posilam e-maily a na jake stranky se divam, neprijde mi vubec stastne vytvorit DNS centrum (a opakuji spravovane neznamou instituci!) pro cely svet. Podle meho nazoru se tim jen vytvari misto, kam muzou (a budou) utocnici utocit, protoze maji zajistene, ze jejich utok bude mit velky dopad. A tim se tedy bezpecnost naopak snizuje.
Proto bych jako reseni OpenDNS rozhodne nedoporucil.
Internet vznikl jako decentralizovany, myslim, ze je moudre to tak zachovavat. -
O teto slabine se pravda chvili vi, ale pokud byste chtel se znalostmi pred cervnem napadnou DNS, ktery nerandomizuje zdrojovy port, musel byste vystihnou spravne casove okno pro utok a to se otvira jen jednou za cas (TTL domeny na kterou utocite). Pravdepodobnost, ze se Vam podari ono casove okno vyuzit je pomerne mala, takze Vas utok by trval pravdepodobne velmi dlouho. Pan Kaminski dokazal, ze utok muzete provest v jakemkoliv case a jeste ho opakovat. To tedy znamena, ze i kdyz pravdepodobnost uspesneho napadeni daneho DNS serveru neni prilis vysoka, muze te jej okamzite opakovat, dokud se Vam to nepovede. (Navic jeste zpusob utoku mirne vylepsil.) Mimochodem ani pouziti randomizovaneho zdrojoveho portu nam nedava jistotu, pouze snizuje pravdepodobnost uspechu utoku! A proto "vylepseni" pana Kaminskeho naopak zvysuje sance utocnika otravit cache i takto "zabezpeceneho" DNS serveru. Jedine reseni, ktere se mi v soucasne dobe jevi jako bezpecne, je pouziti DNSSEC.
-
Ray (neregistrovaný)To by platilo v případě TCP protokolu, kde probíha handshake. V případě UDP a DNS, kde se zasíla jen samostatný paket nikoliv. Není problém posílat zdrojovou IP stejou, jako má autoritatidní DNS. Ne každý ISP na hraničních routrech blokuje ze své sítě cokoliv, co nemá SRC z jeho rozsahů...
R. -
Ray (neregistrovaný)Přesně jak říká přechozí post. Test testuje SKUTEČNOU IP adresu, která provádí patřičné query. Protože NAT, redirekty, forwardery, ... může být rozdílná od té, na které, z tvého hlediska, DNS bydlí. Nicméně, pokud je sít nakonfigurována rozumně, je neduležitější ten stroj, který provádí query. Pokdu je po cestě 10 forwarderů/caches, který akceptujou odpovědi odkudkoliv a DNS port mají přístupný z vnější sitě, pak netřeba komentáře :)
R. -
On si odpověděl, ale já bych se to pokusil více rozvést...
Testuje se IP adresa, ze které chodí dotazy, nezáleží na jaké adrese je server, kterého se ptáte vy, ale server, který se pak ptá autoritativního serveru. Jestli je mezi serverem, kterého se ptáte vy, a autoritativním server, který odpovídá, dalších 10 zřetězených serverů, se normálně vy už nedovíte, ale přitom stačí napadnout ten nejblíž autoritativnímu serveru (nebo nejdál vám), tedy ten, který komunikuje s "internetem".
To samé platí o NATu. Což je taková třešnička na dortu. Vy můžete mít zazáplatovaný DNS server a váš NAT pak bude tak hodný, že vaše náhodné porty zeserializuje... a jste tam kde jsme byli před aktualizací. -
Bezpečné protokoly, které se používají, docela dobře vzdorují "mužíčkovi-uprostřed, tedy pokud uživatel není úplné pako."
Mate bohuzel pravdu pouze castecne. Bezpecne protokoly, tedy napriklad https, pouzivaji certifikaty. Certifikaty vydava certifikacni autorita. Narozdil od tech ceskych kvalifikovanych se tyto autority obvykle spolehaji na udaje z whois. Tedy na udaje, pro jejichz ziskani potrebuji zase DNS. Pokud je tedy utocnik dobre vybaven, nejprve si vystavi certifikat pro prislusny web, pak presmeruje provoz. A ani uzivatel, ktereho byste jiste neoznacil jako "uplne pako", nema sanci -
Mysel (neregistrovaný)Zvladli to i provideri, kteri maji nesrovnatelne vice zatizene DNS nez nas drahy Kyslik.
Maily na zamestnance? :o)) Takze firma vybuduje model podpory a pak ho posle do kopru tim, ze na vsechny lidi rozda narodu prime maily. To je fakt parada. Bezte delat nekam sefa technicke podpory nebo treba centra rizeni site. S takovymi napady jiste prorazite!
Tiskovy mluvci je hlasnou troubou firmy. Nicemu nerozumi a je placen za okecavani chyb a propagaci sluzeb / vyrobku sveho zamestnavatele. Tiskovy mluvci neni ombudsman ani nezavisly technicky expert. Je tedy posetile ventilovat stesky nad bezpaternosti ci laickym blabolenim tiskovych mluvcich vseho druhu. -
anonymníMožnost detekce takového útoku na DNS server mi připadá snadná - pokud dostanu ne nějaký dotaz více odpovědí a některé s nesprávným transaction ID jde o útok -> IP v odpovědi je špatná, za správnou tedy považuju odpověď s jinou IP, která má správné transaction ID a toto IP přišlo jen 1x.
Otázka je co s útokem, který stejným způsobem bude posílat správnou IP - při výše uvedené funkční ochraně pak znemožní provedení korektního překladu. -
anonymníA že ostatní to zvládli? ;-)
Jen naše místní zparchantělé rádoby in firmičky musí mít nějakou blbou výmluvu.
Při tom,jak se chovají o2,UPC,SMP a podobné firmy k zákazníkům na help desku,že ani neuvádí email na své zaměstnance (asi se bojí),by mne hanba fackovala být na místě té mluvčí.Se zdá,že slečna nemá vůbec páteř a vleze do jakéhokoliv zadku jen aby měla výplatní pásku.To platí ale pro dost mluvčích.Mám pocit,že tuhle pozici může zastávat jen opravdová loutka bez vlastního úsudku. -
anonymníLeda ve snu ;-)
http://recursive.iana.org/?query=upc.cz
a uzivatele site karnavelu mohou byt uplne na vetvi
http://recursive.iana.org/?query=karneval.cz -
Tohle vysvetleni jsem tak nejak nepochopil a stejne tak chovani toho DNS testu.
Test mi na nekolika mistech vypisuje, ze otestoval IP adresu, na ktere zadny DNS server nebezi - v podstate vzdy vypisuje adresu, za kterou jsem schovany (NAT), pricemz na teto verejne adrese nebezi *zadna* sluzba, tedy ani DNS.
Nekde je zrejme chyba - bud ten test testuje jiny DNS server a spatne vypisuje IP adresu otestovaneho serveru, nebo si vymysli. Takze tak. -
Ray (neregistrovaný)Ŕekl bych, že velice jedndouše. Vytvoří unikádní DNS méno, ala "nejakejnesmyslcojestenebyl.domena.com". Klient se dožádá jejich DNS serveru odpovědi, oni si zaznamenají source IP adresu a tu otestují. Čili, velice jednoduché, ale poměrně funkční, pokud souhlasí DNS resolved klienta a IP adresa, co se ptá jejich DNS (což nemusí vždy platit, ale ve většine případu ano). Případně jesli je po cestě forwarder, tak IP adresa bude jiná. Na druhou stranu, pravděpodobně správná z hlediska testu :)
R. -
anonymníA pak take existuji DNS servery, ktere uz davno od sveho vzniku pouzivaji nahodny odchozi port i transaction id - protoze byly napsane s durazem na bezpecnost - napr. DJBDNS
Nechapu proc je nyni kolem toho takoveho povyku, kdyz se o teto slabine primo v navrhu DNS vi snad 10 let.
Pri poslani dostatecne velkeho mnozstvi packetu se takto da nakazit kazdy DNS server.
Co se teda nyni nove objevilo?
Ze nektere implementace DNS serveru nerandomizuji port nebo id? To je pak diletantstvi vyrobce takoveho softwaru a stejne tak i admina, ktery takovy software vubec pouziva. -
hari (neregistrovaný)Casablanca je ok.
Posledni dobou mi firewall hlasil vetsi mnozstvi utoku typu ARP cache poisoning http://en.wikipedia.org/wiki/ARP_spoofing
Vcera jich ale bylo uz jen nekolik. Jste na tom nekdo stejne? -
Milan (neregistrovaný)Protože toto jsme už viděli napadením přímo PC a překladem přímo tam. Škoda nebyla skoro žádná.
Bezpečné protokoly, které se používají, docela dobře vzdorují "mužíčkovi-uprostřed", tedy pokud uživatel není úplné pako.
Takže ano, riziko bylo, ale takové celkem normální, které odpovídá objevení viru nebo trojského koně.
Pochopitelně souhlasím s tím, že záplatovat se má. -
xXx (neregistrovaný)Je videt, ze pan D neprovozuje zadny zatizenejsi forwarding DNS server. V teto veci totiz ma O2 svym zpusobem pravdu - prvni patche, ktere se napr. na BIND objevily, byly mizerne a nameservery odpovidaly pomalu a mely s nimi pomerne velky load (pokud odpovidaji radove na stovky dotazu za sekundu, coz neni zadny problem). U te Telefonicy toho provozu musi byt jeste radove vice, nez stovky dotazu za sekundu, takze si dovedu velmi zive predstavit, co by se tam stalo a kolik by jim volalo nastvanych zakazniku, ze se jim "votvira pomalu Seznam".
Druha vec je, ze ani s timto patchem nejsou ty nameservery bezpecne, jen ten spoofing da trochu vic prace (ale tu stejne udela stroj, tak co).
ČLÁNKY DO MAILU