IT 13.2: IT jako lék

Ondřej Caletka 18. 12. 2013

Poslední listopadovou sobotu se v prostorách Matematicko-fyzikální fakulty Univerzity Karlovy v Praze konal již druhý ročník podzimní konference sdružení CZ.NIC, spolupořádané sdružením CESNET. Kromě tradičních přednášek a workshopů na téma internetu a DNS byla pozornost věnována i vzdělávacím projektům CZ.NIC

Tomáš Hlaváček: Útok na DNS cache pomocí IP fragmentů

O novém útoku na DNS psal nedávno Ondřej Surý na blogu sdružení. Byl objeven na Bar Ilan University v Izraeli a veřejně prezentován na IETF 87. Tomáš Hlaváček je spoluautorem jedné ze dvou funkčních implementací tohoto útoku.


„Útok je zajímavý tím, že se dá realizovat v poměrně krátké době a není příliš technicky složitý. Má ale spoustu prerekvizit, které jej činí ne zcela triviální pro realizaci.“ Útok spočívá ve zneužití mechanizmu IP fragmentace, díky čemuž dokáže modifikovat data UDP komunikace, aniž by útočník musel fyzicky stát mezi obětí a serverem. Podstata je v redukci entropie DNS zprávy z 32 bitů (zdrojový UDP port a DNS ID) na 16bitové IP ID. Funguje to tak, že správné hodnoty UDP portu a DNS ID jsou uloženy v prvním fragmentu fragmentovaného datagramu, který útočník nemodifikuje. Druhý fragment, který útočník zfalšuje, je pak k prvnímu vázán pouze 16bitovým IP ID, které ještě na některých platformách navíc není přidělováno náhodně, ale sekvenčně. Tak je možné modifikovat data v rekurzivním DNS serveru.

Existují dva způsoby, jak vyvolat fragmentaci DNS provozu. Buď je možné vytvořit speciálně zformátovanou zónu, která bude vždy vracet odpovědi delší než 1500 B, nebo je možné falšováním ICMP zpráv sloužících k objevování MTU cesty donutit legitimní server k fragmentování provozu. Protože takovou zprávu může vygenerovat kterýkoli router na cestě a protože koncový systém nemá možnost zkontrolovat, zda zdrojová adresa skutečně patří nějakému routeru na cestě, není třeba falšovat zdrojovou IP adresu a přinejmenším Linux falešnou zprávu o nižším MTU přijme. Ta se uloží v keši směrovací tabulky na 10 minut. Drobným problémem je, že Linux akceptuje nejnižší možnou hodnotu MTU rovnou 552 B, takže není možné vnutit extrémně nízkou MTU, která by byla pro útok výhodnější.

Po vynucení fragmentace na cestě od autoritativního serveru k rekurzivnímu útočník injektuje připravený druhý fragment do vyrovnávací paměti rekurzivního serveru a vyvolá dotaz, o kterém ví, že povede dotaz směrem k autoritativnímu serveru. Jakmile autoritativní server pošle rekurzivnímu první fragment odpovědi, je v rekurzivním serveru spojen s druhým fragmentem útočníka a předán vyšším vrstvám.

Prakticky je realizace podobného útoku technickou výzvou. „Vygenerování falešných ICMP paketů je jednoduché, složitější je ale najít doménu, která je zranitelná. Musí generovat dostatečně velké množství dat, aby data určená k podvrhnutí padla do druhého fragmentu. Také je třeba data v podvrženém fragmentu modifikovat tak, aby platil kontrolní součet, který je v záhlaví UDP paketu. „Naštěstí se jedná o lineární systém výpočtu kontrolního součtu, takže není problém upravit si data podle potřeby,“ konstatuje Tomáš Hlaváček.

Útok realizovaný v laboratořích CZ.NIC má úspěšnost přibližně v jednom ze tří pokusů, z důvodu náhodného pořadí dat v ADDITIONAL  sekci DNS zprávy. Nejúčinnější obranou je nasazení DNSSEC, kde validující resolver kontroluje veškerá DNS data podepsaných domén, takže podobný útok vůbec nemůže být účinný.

Lukáš Macura: BESIP a OpenWRT – život v rovnováze

Lukáš Macura ze sdružení CESNET představil projekt BESIP. Jedná se o embedded řešení pro IP telefonii postavené na platformě OpenWRT. Cílem bylo získat monolitický design, tak aby jednotlivé komponenty dobře spolupracovaly a bylo je možné aktualizovat najednou jako celek. Kromě malých SoHo routerů existuje také v podobě obrazu virtuálního serveru. Ihned po spuštění je systém nakonfigurován pro volání do VoIP infrastruktury CESNETu.

V rámci projektu BESIP bylo v OpenWRT upraveno či portováno mnoho balíků s ústřednami Asterisk a Kamailio, Zabbixem a dalšími. Konfigurace BESIP zařízení je zamýšlena protokolem NETCONF, na jehož portaci autoři také pracují.

Zařízení BESIP je také vybaveno snadným provisioningem nastavení. „Po prvním zapnutí provede systém DNS dotaz na speciální doménové jméno, ze kterého zjistí případnou URL s konfigurací, tu stáhne a aplikuje,“ říká Lukáš Macura.

Celý projekt je vyvíjen s těsnou vazbou na upstream OpenWRT, do kterého jsou průběžně přijímány patche vytvořené v rámci projektu. Vývojáři projektu se také stali oficiálními správci balíčků telefonní sekce OpenWRT.

TABLEXIA – moderní vzdělávací pomůcka pro děti s dyslexií

Karolína RybářováAndrea Šíchová z laboratoří CZ.NIC představily nové vzdělávací projekty. Jejich snahou je reagovat na současné trendy vybavování škol tablety pro interaktivní výuku, přitom se zaměřit na oblasti, které pro komerční sektor nejsou příliš zajímavé.

Název aplikace Tablexia je složeninou slov tablet a dyslexia. Jedná se o tréningovou aplikaci pro děti s touto poruchou učení. Laboratoře CZ.NIC plánují vydat zdarma aplikaci v první fázi pro tablety platformy Android, které jsou cenově nejdostupnější. Aplikace bude vydána jako open source s licencí Creative Commons.

Cílovou skupinou jsou děti na druhém stupni základních škol. Aplikace by měla dodávat uživatelům zpětnou vazbu, jak byla použita a zda došlo ke zlepšení během používání. Plánujeme použití ve školách, ale chceme, aby aplikace byla tak atraktivní, že si ji děti budou chtít nainstalovat a používat samy. V současné verzi jsou k dispozici tři hry, které mají společné herní prostředí, grafiku a ovládací prvky. Každá hra trénuje jednu specifickou kognitivní oblast. Protože je hra určena pro starší děti, je její součástí také encyklopedie detailně popisující kognitivní poruchy. Hra je situována do detektivní kanceláře. Tři hry jménem „bankovní lupič“, „pronásledování“ a „únos“ testují vizuální rozlišování, orientaci v prostoru a sluchovou orientaci.

Aplikace byla prakticky testována ve dvou školách a v DYS-centru Praha, se kterým tvůrci aplikace spolupracují. „Potěšilo nás, že jsme dostali známku 1,8, což na to, že nejde o žádnou střílečku, považujeme za úspěch.“ Na základě testování byla také upravena obtížnost úrovní, protože se původní hry ukázaly jako příliš jednoduché. Do budoucna je plánováno rozšíření počtu her, které budou mít stále jednotný motiv. Vydání aplikace je naplánováno na počátek roku 2014.

Lenka Krejčová: IT jako „lék“

Lenka Krejčová z DYS-centra Praha plynule navázala na představení hry Tablexia. Téma dyslexie se týká pěti až deseti procent populace, které může IT v určité oblasti pomoci. Jedná se o velice složitě definovanou kognitivní poruchu, kterou je možné shrnout do věty: Dyslektik je ten, který se učí jinak.

Informační technologie mohou sloužit nejen v zmírňování následků dyslexie, ale i jako kompenzační pomůcka. Nejčastěji jsou staršími dyslektiky využívány softwary pro převod textu na řeč (TTS). „V současnosti existuje pokud vím jeden TTS program určený pro dyslektiky.“ Opačný převod, tedy Speech to text, je k dispozici v angličtině, ne však v češtině. Velkou výhodou jsou také elektronické čtečky knih: „Kromě možnosti nastavit si velikost písma podle potřeby je tu také psychologická výhoda, že není vidět tloušťka knihy.“ Dyslektiky totiž často odradí představa nutnosti přečíst velmi tlustou knihu.

widgety

Lenka Krejčová dále pohovořila o Dyslexia-friendly designu, například webových stránek. Ve zkratce jde o jednoduchou orientaci, spíše méně souvislého textu, ten by měl být maximálně strukturovaný. Je také dobré využívat symboly. Když si dyslektik otevře webovou stránku plnou souvislého textu se spoustou barevných obrázků a odkazů, tak obvykle takovou stránku okamžitě zavře. Zajímavé je, že dyslektikům často nevyhovuje vysoký kontrast černé na bílé a patková písma. Jenom změna barvy pozadí v textovém editoru dokáže dyslektikům výrazně pomoci získat lepší orientaci v textu.

Foto: Igor Kytka, CZ.NIC

Našli jste v článku chybu?
Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Dostal malý pivovar ze Slovenska do Tesca

Dostal malý pivovar ze Slovenska do Tesca

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: O2 Sport zbrojí na derby pražských S

O2 Sport zbrojí na derby pražských S

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Chystá se smršť legislativních novinek

Chystá se smršť legislativních novinek

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET