Názory k článku
DNS útok podle Kaminského
-
tukan (neregistrovaný)Tak nevim jestli mu podekovat nebo dat pesti, spis to druhe. Ta chyba je znama roky, desitky let, on neobjevil NIC noveho, jen to vytahl na svetlo verejnosti. Ted musi vsichni zaplatovat, protoze par kretenu na to nakoduje a publikuje hotove nastroje a script kiddies a spameri rozpoutaji peklo. Dobra prace?
I ja sam jsem si obcas zapoisonoval, ale pro dobrou vec. Ted se to utahne na high profile serverech, ktere budou o neco bezpecnejsi, ale ostatni - vetsina - co z toho nema rozum se na to vykasle. Jenze ted nebudou potencialni obeti par zkusenych hackeru (v pravem vyznamu toho slova), ale realnou obeti milionu zlodeju a idiotu.
Narozdil od chyby napr. v SSH je DNS opomijena komponenta a hlavne nova "oprava" nestoji za nic. U prikladu s SSH se vetsina zalepi nez se to dostane poradne ven a zbytek se casem prida, ale tady? Trochu to zaskodnikum na nekterych mistech ztizil, ale zaroven k tomu pritahl nebezpecne davy. Jelikoz je to chyba by-design a nejlepsi v co muzeme doufat je pochybny workaround, povazuji to cele za velmi nezodpovedne jednani jednoho idiota, ktery si proste jen chtel pripichnout jmenovku na svetovou nastenku tzv. "expertu". Vic na tom z jeho strany opravdu neni, a to je muj hlavni problem s timhle ubozakem. -
Mti. (neregistrovaný)Nno to je nazor. Lepsi je nedelat nic? V dobach modemu by byl takovyto utok daleko vic videt. Zvysenim poctu podvrzenych paketu (v idealu z 2^16 na 2^32) se opet zvedne viditelnost takoveho utoku. Oprava je to kratkodoba, ale pokud by to nevytahli na verejnost, tak to neopravi nikdo. (teda, ok, par serveru to resilo stejnym zpusobem uz driv) A kdyby nic jineho, nez ze se zacne mluvit o DNSSEC, je to dobry krok.
(jestli se nepletu, tak ta konference (tj. to okate "vytazeni na verejnost" byla v dobe, kdy opravy vetsich nameserveru (myslim ted aplikace) uz chvilu byly, a jestli nekdo neaktualizuje...)
..a to ze VY jste to pouzil "pro doboru vec", tak to je urcite chvalyhodne, jste sikovny, ale casem by se naslo par dalsich, kteri by to taky pouzili "pro doboru vec" (ale ciste z jejich pohledu). -
anonymní"Tak nevim jestli mu podekovat nebo dat pesti, spis to druhe. Ta chyba je znama roky, desitky let, on neobjevil NIC noveho, jen to vytahl na svetlo verejnosti. Ted musi vsichni zaplatovat,"
Ja osobne mu v duchu dekuju. Jak je videt, jedine explotity dokazou donutit lidi, aby opravovali chyby. To je docela ostuda, ze chyba je znama desitky let a teprve ted se nekdo odhodlal s tim delat. Ale pokud je to jedina moznost, jak nekoho donutit opravovat chyby, tak je to dost smutny. Nebo bys rad, aby byly systemy deravy a pak si skutecne nejakej hacker/cracker napsal vlastni exploit a pekne potichu radil bez oznameni?
Ja osobne jsem rad, kdyz chybu objevi white-hat, oznami vyvojarum a po nejakej dobe vyda exploit. Nejlip, kdyz se to udela hned, protoze pak to dopadne tak, jak to dopadlo ted. A kdo vcas neopravi, tak ma proste smulu.
Vezmi se telnet - driv se bezne pouzival. Kdyz se vytvorily nastroje na odposlouchavani sitovyho provozu, hned se prislo se SSH.
O DNS si nikdo asi nemyslel, jak je dulezity, protoze vetsina lidi zna akorat email a web. Ale nedochazi jim, ze i ten email a web musi nejak fungovat a pokud se dela utok na zakladni prvky a protokoly, tak muze obcas i ochrana na vyssich vrstvach byt k nicemu. Tak mozna ted se konecne zacne poradne tlacit i na bezpecnost DNS a konecne se protlaci DNSSEC nebo i neco jineho.
