DNS útok podle Kaminského
8. 8. 2008 19:07
Ondřej Surý
Na konferenci BlackHat, která tento týden proběhla v USA, bylo odhaleno více informací ohledně útoku na DNS, se kterým první přišel Dan Kaminsky. Nezáplatované servery jsou vážně ohroženy a ani ty záplatované nejsou stoprocentně bezpečné. V současné době je jediným řešením, které chrání před útoky typu otrávení vyrovnávací paměti DNS je DNSSEC.
Pokud jste to ještě neudělali, tak rychle instalujte aktualizace DNS serveru.
Více informací naleznete na firemním blogu CZ.NICu: DNS útok podle Kaminského.
aura:66
9. 8. 2008 11:55
Nový
DNSSEC a CZ.NIC
celé vlákno
A ted jedno male rypnuti - umi uz CZ.NIC DNSSEC? ;) Koukam ze v Zari by melo uz jit. Kdyz jsem ho chtel pred rokem, tak mi prisla odpoved ze to nebude, protoze je to zbytecny.
NOX (neregistrovaný)
9. 8. 2008 22:31
Nový
RE: DNS útok podle Kaminského
celé vlákno
Na poslednu bezpecnostnu chybu DNS serverov vraj zaplata nikdy nebude, lebo chyba je v samotnom navrhu protokolu, alebo tak nejak.
aura:76
9. 8. 2008 23:06
Nový
RE: DNS útok podle Kaminského
celé vlákno
Otázkou je, co je to záplata na chybu. Pokud se podaří snížit pravděpodobnost útoku a zvýšit náročnost, tak, aby se nevyplatilo tímto způsobem útočit, je to záplata nebo není?
uživatel si přál zůstat v anonymitě
13. 8. 2008 22:42
Nový
RE: DNS útok podle Kaminského
celé vlákno
sectete jeji jmeno..
tukan (neregistrovaný)
10. 8. 2008 21:15
Nový
kaminsky
celé vlákno
Tak nevim jestli mu podekovat nebo dat pesti, spis to druhe. Ta chyba je znama roky, desitky let, on neobjevil NIC noveho, jen to vytahl na svetlo verejnosti. Ted musi vsichni zaplatovat, protoze par kretenu na to nakoduje a publikuje hotove nastroje a script kiddies a spameri rozpoutaji peklo. Dobra prace?
I ja sam jsem si obcas zapoisonoval, ale pro dobrou vec. Ted se to utahne na high profile serverech, ktere budou o neco bezpecnejsi, ale ostatni - vetsina - co z toho nema rozum se na to vykasle. Jenze ted nebudou potencialni obeti par zkusenych hackeru (v pravem vyznamu toho slova), ale realnou obeti milionu zlodeju a idiotu.
Narozdil od chyby napr. v SSH je DNS opomijena komponenta a hlavne nova "oprava" nestoji za nic. U prikladu s SSH se vetsina zalepi nez se to dostane poradne ven a zbytek se casem prida, ale tady? Trochu to zaskodnikum na nekterych mistech ztizil, ale zaroven k tomu pritahl nebezpecne davy. Jelikoz je to chyba by-design a nejlepsi v co muzeme doufat je pochybny workaround, povazuji to cele za velmi nezodpovedne jednani jednoho idiota, ktery si proste jen chtel pripichnout jmenovku na svetovou nastenku tzv. "expertu". Vic na tom z jeho strany opravdu neni, a to je muj hlavni problem s timhle ubozakem.
I ja sam jsem si obcas zapoisonoval, ale pro dobrou vec. Ted se to utahne na high profile serverech, ktere budou o neco bezpecnejsi, ale ostatni - vetsina - co z toho nema rozum se na to vykasle. Jenze ted nebudou potencialni obeti par zkusenych hackeru (v pravem vyznamu toho slova), ale realnou obeti milionu zlodeju a idiotu.
Narozdil od chyby napr. v SSH je DNS opomijena komponenta a hlavne nova "oprava" nestoji za nic. U prikladu s SSH se vetsina zalepi nez se to dostane poradne ven a zbytek se casem prida, ale tady? Trochu to zaskodnikum na nekterych mistech ztizil, ale zaroven k tomu pritahl nebezpecne davy. Jelikoz je to chyba by-design a nejlepsi v co muzeme doufat je pochybny workaround, povazuji to cele za velmi nezodpovedne jednani jednoho idiota, ktery si proste jen chtel pripichnout jmenovku na svetovou nastenku tzv. "expertu". Vic na tom z jeho strany opravdu neni, a to je muj hlavni problem s timhle ubozakem.
Mti. (neregistrovaný)
11. 8. 2008 8:29
Nový
Re: kaminsky
celé vlákno
Nno to je nazor. Lepsi je nedelat nic? V dobach modemu by byl takovyto utok daleko vic videt. Zvysenim poctu podvrzenych paketu (v idealu z 2^16 na 2^32) se opet zvedne viditelnost takoveho utoku. Oprava je to kratkodoba, ale pokud by to nevytahli na verejnost, tak to neopravi nikdo. (teda, ok, par serveru to resilo stejnym zpusobem uz driv) A kdyby nic jineho, nez ze se zacne mluvit o DNSSEC, je to dobry krok.
(jestli se nepletu, tak ta konference (tj. to okate "vytazeni na verejnost" byla v dobe, kdy opravy vetsich nameserveru (myslim ted aplikace) uz chvilu byly, a jestli nekdo neaktualizuje...)
..a to ze VY jste to pouzil "pro doboru vec", tak to je urcite chvalyhodne, jste sikovny, ale casem by se naslo par dalsich, kteri by to taky pouzili "pro doboru vec" (ale ciste z jejich pohledu).
(jestli se nepletu, tak ta konference (tj. to okate "vytazeni na verejnost" byla v dobe, kdy opravy vetsich nameserveru (myslim ted aplikace) uz chvilu byly, a jestli nekdo neaktualizuje...)
..a to ze VY jste to pouzil "pro doboru vec", tak to je urcite chvalyhodne, jste sikovny, ale casem by se naslo par dalsich, kteri by to taky pouzili "pro doboru vec" (ale ciste z jejich pohledu).
pht (neregistrovaný)
11. 8. 2008 14:17
Nový
Re: kaminsky
celé vlákno
jeste je jedno (kratkodobe) reseni a to pouzit TCP. TCP ma jiz slusne algoritmy pro generovani syn cisel a tudiz jakousi integritu a stavovost zarucuje. DNS to lepi po svem nad UDP a doplaci na to.
aura:76
11. 8. 2008 16:24
Nový
Re: kaminsky
celé vlákno
Jistě. Nicméně z dlouhodobého hlediska to chce DNSSEC (nebo něco jako je DNSSEC).
aura:76
11. 8. 2008 9:09
Nový
Re: kaminsky
celé vlákno
> Ta chyba je znama roky, desitky let, on neobjevil NIC noveho, jen to vytahl na svetlo verejnosti.
Už si připadám, že se začínám opakovat. Ta chyba, s kterou přišel Kaminsky, není o 2^16 a náhodných zdrojových portech, ale o tom, jak poisonovat cache bez ohledu na TTL.
Už si připadám, že se začínám opakovat. Ta chyba, s kterou přišel Kaminsky, není o 2^16 a náhodných zdrojových portech, ale o tom, jak poisonovat cache bez ohledu na TTL.
uživatel si přál zůstat v anonymitě
11. 8. 2008 9:15
Nový
Re: kaminsky
celé vlákno
"Tak nevim jestli mu podekovat nebo dat pesti, spis to druhe. Ta chyba je znama roky, desitky let, on neobjevil NIC noveho, jen to vytahl na svetlo verejnosti. Ted musi vsichni zaplatovat,"
Ja osobne mu v duchu dekuju. Jak je videt, jedine explotity dokazou donutit lidi, aby opravovali chyby. To je docela ostuda, ze chyba je znama desitky let a teprve ted se nekdo odhodlal s tim delat. Ale pokud je to jedina moznost, jak nekoho donutit opravovat chyby, tak je to dost smutny. Nebo bys rad, aby byly systemy deravy a pak si skutecne nejakej hacker/cracker napsal vlastni exploit a pekne potichu radil bez oznameni?
Ja osobne jsem rad, kdyz chybu objevi white-hat, oznami vyvojarum a po nejakej dobe vyda exploit. Nejlip, kdyz se to udela hned, protoze pak to dopadne tak, jak to dopadlo ted. A kdo vcas neopravi, tak ma proste smulu.
Vezmi se telnet - driv se bezne pouzival. Kdyz se vytvorily nastroje na odposlouchavani sitovyho provozu, hned se prislo se SSH.
O DNS si nikdo asi nemyslel, jak je dulezity, protoze vetsina lidi zna akorat email a web. Ale nedochazi jim, ze i ten email a web musi nejak fungovat a pokud se dela utok na zakladni prvky a protokoly, tak muze obcas i ochrana na vyssich vrstvach byt k nicemu. Tak mozna ted se konecne zacne poradne tlacit i na bezpecnost DNS a konecne se protlaci DNSSEC nebo i neco jineho.
Ja osobne mu v duchu dekuju. Jak je videt, jedine explotity dokazou donutit lidi, aby opravovali chyby. To je docela ostuda, ze chyba je znama desitky let a teprve ted se nekdo odhodlal s tim delat. Ale pokud je to jedina moznost, jak nekoho donutit opravovat chyby, tak je to dost smutny. Nebo bys rad, aby byly systemy deravy a pak si skutecne nejakej hacker/cracker napsal vlastni exploit a pekne potichu radil bez oznameni?
Ja osobne jsem rad, kdyz chybu objevi white-hat, oznami vyvojarum a po nejakej dobe vyda exploit. Nejlip, kdyz se to udela hned, protoze pak to dopadne tak, jak to dopadlo ted. A kdo vcas neopravi, tak ma proste smulu.
Vezmi se telnet - driv se bezne pouzival. Kdyz se vytvorily nastroje na odposlouchavani sitovyho provozu, hned se prislo se SSH.
O DNS si nikdo asi nemyslel, jak je dulezity, protoze vetsina lidi zna akorat email a web. Ale nedochazi jim, ze i ten email a web musi nejak fungovat a pokud se dela utok na zakladni prvky a protokoly, tak muze obcas i ochrana na vyssich vrstvach byt k nicemu. Tak mozna ted se konecne zacne poradne tlacit i na bezpecnost DNS a konecne se protlaci DNSSEC nebo i neco jineho.
uživatel si přál zůstat v anonymitě
13. 8. 2008 22:39
Nový
RE: DNS útok podle Kaminského
celé vlákno
sectete jeji jmeno..
