Hace 15 años | Por --96353-- a bandaancha.eu
Publicado hace 15 años por --96353-- a bandaancha.eu

Los chicos de bandaancha.st han conseguido, mediante uno de los nuevos exploits de DNS, inyectar información falsa a uno de los servidores DNS de telefonica. Es urgente que todos los que estamos con telefonica usemos openDNS o mas de uno va a tener un disgusto.

Comentarios

jotape

Pues qué puta gracia, nenes.

c

#16 Gracias. Perfectamente claro. Eres un figura. Votito pa tí. Abracetes.

D

Relacionada: Publicados varios exploits para vulnerabilidad DNS

Hace 15 años | Por --761-- a kriptopolis.org

Repito, es MUY importante migrar a OpenDNS tal y como se recomienda.

c

Soy una ignorante del asunto. ¿Alguien podría explicármelo de manera que lo entienda? Gracias.

D

A mi lo que no me hace gracia es que por culpa de la negligencia de otros, acabe pagando yo.

Y me estoy refiriendo a la negligencia por parte de Telefónica

sirberic

#4 joder, no juegues con la salud poniendo páginas que no existen :____(

sorrillo

#51 Desconozco si poniendo los root servers en los DNS del equipo te funcionaría correctamente, pero en cualquier caso no sería una forma sostenible de funcionamiento.

El concepto distribuido del DNS pretende descargar a los root servers del trabajo que supondría dar servicio a todos los usuarios a la vez.

D

#c-21" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/434891/order/21">#21 --> https://www.opendns.com/start/ubuntu.php

To avoid having your settings get revoked after reboots, or after periods of inactivity, do this:

$ sudo cp /etc/resolv.conf /etc/resolv.conf.auto
$ sudo gedit /etc/dhcp3/dhclient.conf
# append the following line to the document
prepend domain-name-servers 208.67.222.222,208.67.220.220;
# save and exit
$ sudo ifdown eth0 && sudo ifup eth0

You may be required to change eth0 to your own network device's name if it uses a non-standard name.

sorrillo

#36 Porque los de OpenDNS usan una técnica muy criticada, redirigir las peticiones a dominios no válidos a un buscador suyo.

Si pones en la url: tacatapumpum.net

Los servidores DNS de reenvían a : http://guide.opendns.com/?url=tacatapumpum.net

Los de OpenDNS te permiten registrarte y usar opciones avanzadas, desconozco si esto se puede desactivar desde ahí.

Hay bastantes cosas que no me gustan de OpenDNS, una de ellas es la que acabo de comentar, otra es esta: http://fr.pastebin.ca/689242

Al parecer no se están comportando como deberían y pueden estar ensuciando mucho el servicio DNS. En los DNS de tu ISP eso no pasa (excepto en casos concretos de EEUU donde si ha habido alguna queja).

sorrillo

#46 Normalmente no hago esto, pero ... corrige el corrigan por corrijan

D

Para #4 y #17
Bueno, no es una opinion, es la recomendacion que se hizo desde http://www.kriptopolis.org/
Para mi, la opinion de esta página me merece toda la credibilidad del mundo.
Nada mas ^^

D

Aquí tendrían que ir rodando cabezas y tal...

D

Según el chequeador de la vunlenabilidad que hay en el blog de kaminsky los servidores de telefónica que están en la lista de bandaancha como no vulnerables sí que lo son.
Los dns de Yoigo también se encuentran afectados por esta vulnerabilidad, según el mismo comprobador.
He cambiado las DNS a Opendns y parece que va mejor.

D

OpenDNS puede tener los mismos problemas que Telefónica o cualquier otro. Lo de que OpenDNS es de "máxima fiabilidad" o que "lo han dicho en kriptopolis", me parece que tiene muy poco rigor.
Alabemos todo lo "Open" pero no inculquemos ideas personales como si fueran axiomas.

D

#5 Si cae alguna cabeza lo más seguro es que sean las de los que lo han denunciado y / o las de los que lo han descubierto.

D

#31 No se trata de poner o no OpenDNS si no de comprobar si los dns que estas usando son vulnerables, http://bandaancha.eu/articulo/5886/envenenando-dns-telefonica y si lo fuesen, poder tomar medidas puniendo cualquiera de los DNS que son seguros. El que tu pongas es decision tuya.

Nova6K0

Gente no os peleeis por OpenDNS (a mí tampoco me hacen mucha gracia). Yo lo que espero es que los ISP, españoles corrigan el error. ¡ Que va siendo hora !.

Salu2

D

Al final es la unica manera de hacer que se muevan

Un 10 para BandaAncha.eu

r

#53 de mano NO funcionaria.

Los rootservers son servidores autoritativo (digamos los que almacenan los registros originales de una zona, en caso de los rootservers guardan listados de los proveedores de .com .net, etc ), y lo que necesita un cliente para resolver DNS es la ip de un resolutor recursivo (esto es, un programa, normalmente ofrecido por tu ISP, que "va tirando del hilo" hasta llegar al servidor autoritativo del dominio que solicitas).

Ejemplillo:

Tu pides la direccion de www.google.com

r

#49 bandaancha.st lo que ha hecho es publicitarlo, lo cual me parece perfecto.

El descubrimiento es de Dan Kaminsky (al menos la forma de explotarlo) y lleva un tiempo dando información a distintos proveedores para que corrijan el problema.

Bandaancha.st espero hasta que se creara el exploit (lo cual me parece perfecto), pero tiene merito como medio de comunicación y nada mas (que no es poco por otra parte).

NOTA: Es alarmante el numero de ISPs que NO han actualizado. Por favor, comprobar el vuestro (buscad en kriptopolis.org como se hace o bien ir a la page de kaminsky www.doxpara.com )

D

#40 Lo que mucha gente no acaba de entender es que OpenDNS no devuelve NXDOMAIN para dominios inexistentes, en su lugar te envía un html. Si la petición lo hace un browser pues perfecto, te renderiza el html y todos contentos. El problema es que Internet no es sólo la web y hay aplicaciones que dependen de un correcto funcionamiento de los servidores DNS. Ahora imagina que tu aplicación de correo intenta contactar con un dominio erróneo y OpenDNS le envía de vuelta una página HTML en lugar del lógico NXDOMAIN, pues toca esperar hasta time-out para que la aplicación se entere que ese dominio no existe.

ragnarel

#20 OpenDNS al ser un servicio tan grande, único y exclusivo para las DNS, tendrán su propio software, para además dar los servicios extras que dan. De hecho, creo que ellos mismos no eran vulnerables cuando se descubrieron las vulnerabilidades (no todos los servicios/servidores DNS lo eran). Hay por ahí una lista de los "softwares" afectados.

D

#21 Sistema-->Administración-->Red y ahí en la pestañita que pone DNS...(primero haz click en "Desbloquear" y mete la contraseña de tu usuario)

I

yo tengo Tele2 y empece a usar las DNS de OpenDNS ya que estas que tenia eran afectada por la vulnerabilidad descubierta.

Liamngls

Yo uso Linux, a otro perro con ese hueso de las dns.

Erizo

espero que para cuando Timofónica arregle el entuerto y nos den nuevas DNS o no sean vulnerables las antigüas nos enteremos por aquí, o por los diferentes blogs, porque lo que es por ellos....

sorrillo

#41 Uf, cuanto mas leo de OpenDNS menos me gusta.

Es un servicio lleno de porquería. Tiene filtros activados por defecto que solo puedes desactivar si creas una cuenta (gratuita de momento, eso si) y que solo puedes mantener si usas un cliente Mac/Windows que actualice la IP dinámica cada vez que la cambia tu ISP (para Linux no hay cliente oficial).

El servicio de OpenDNS Search no se puede desactivar. Tampoco se puede configurar el buscador, el que viene es el de yahoo.

Para ciertos casos te redirigen a un proxy que tienen, dicen que son casos excepcionales y siempre con la excusa de crear una mejor experiencia para el usuario.

Veo demasiadas cosas sospechosas y muchos intereses comerciales detrás, creo que se venderán al mejor postor cuando tengan suficiente masa de usuarios y se convertirá en un sistema para publicitar a los anunciantes (si controlas el DNS controlas la forma como se muestran las webs).

No digo que no se utilice durante esta crisis, pero para mi no es un servicio atractivo de cara al futuro.

sorrillo

#44 Falso. No hay esa opción (indícame exactamente donde si estoy equivocado).

Aunque la hubiera no sería viable a menos que uses Windows o Mac si dispones de IP dinámica (lo mas común a nivel residencial).

En este hilo explican porqué no tienen previsto permitir desactivarlo:
http://forums.opendns.com/comments.php?DiscussionID=158

sorrillo

#41 Para redes grandes se puede usar un servidor DNS interno que resuelva las DNS locales y en caso de no poder lo reenvie al servidor DNS externo (openDNS u otros).

Eso soluciona el problema de la resolución local.

Que exista solución no significa que justifique lo que hacen los de openDNS, me sigue pareciendo fatal.

Nova6K0

#46 Normalmente no hago esto, pero ... corrige el corrigan por corrijan

Sorrillo compa, aunque me dí cuenta, llegué tarde para editarlo.

Salu2

D

Para #21
En linux tienes que editar el archivo:
/etc/resolv.conf
y añadir:
nameserver 208.67.222.222
nameserver 208.67.220.220

Tambien por consola:
https://www.opendns.com/start?device=ubuntu

raxor

#38 A mi me parece justo y ademas es practico acabas encontrando el dominio que buscabas, te dan un servicio y de manera nada intrusiva en lugar de un 404 te devuelven un resultado con valor añadido, a mi no me molesta.

Eres libre de configurar tus dns para que apunten a OpenDNS, en los ISP que hacian esto se configuraban automaticamente por DHCP. No es lo mismo.

D

#26
Tienes toda la razon, pero ya sabemos que en este pais las cosas de palacio van despacio y no es plan de que nosotros paguemos el pato. Para eso estan paginas de informacion como meneame que llegan a mucha gente.

D

Será cuestión de tomar nota, aunque no estoy muy convencido de que tengamos que "migrar" las DNS...

D

Para #7
Yo diria que esto:

Realmente lo que hemos hecho es inyectarle un información falsa sobre el dominio dnspoisoning.bandaancha.eu que hemos creado para la ocasión. Sus DNS autoritativos apuntan a la IP
89.248.99.20 y el exploit lo que hace es envenenar el servidor con información falsa de modo que apunte a la IP 89.248.99.18.

Es que lo han conseguido lol

p

Ja.... Ja.... ¡como les gusta jugar a los niños!

mudito

#3 Pues si para ti no tiene gracia es que entiendes bien poco del tema, pues es bastante importante este hallazgo, y sobre todo, que lo hayan hecho unos hackers de sombrero blanco en lugar de negro. Si no fuera por ellos, mañana podrías estar viendo una página distinta a la que tú piensas que es ... y no tendrías forma de saberlo.

r

#45 No existe la opción, sin embargo, para tu información se puede quitar eso del "OpenDNS guide" si te registras y desactivas el proxy y los shortcuts (ambas cosas están en la configuracion avanzada) . Lo he probado esta mañana y funciona perfectamente.

Por otra parte, y volviendo al tema del hilo principal, sobre el tema del envenenamiento, al final Dan Bernstein (el autor de djbdns y qmail entre otros), sera lo que quieras, pero hace casi 10 años que sabia que algo así pasaría (y básicamente se demuestra viendo que tinydns no ha sido nunca vulnerable a esto, aparte de que por construcción el servidor autoritativo y el recursivo son dos programas separados, etc).

j

Los chicos de bandaancha.st han conseguido
En el artículo no dice que lo hayan conseguido

w

Y digo yo.... mientras todos los ISPs no solucionen este problema, no sería una solución fácil y rápida el meter directamente en nuestro fichero de hosts las IPs más criticas utilizadas habitualmente por nosotros (bancos / correo).
Estas entidades no cambian sus IPs habitualmente y si lo hicieran lo actualizamos en cuanto veamos que no rulan y listo. Eso si, siempre consultando la IP de una fuente fiable (lease DNS parcheado).

K-M

#55 Yo tengo un bind9 (un servidor dns, para los no entendidos) instalado en un pc que tengo de servidor en casa (Debian estable). Supongo que si visitase una web distinta cada vez sí que sería más lento, pero teniendo en cuenta que el 90% de las webs que visito son siempre las mismas, gano en velocidad ya que están cacheadas igualmente y accedo al dns via red local, en lugar de lidiar con servidores externos. Eso sin contar que me aseguro que esté bien actualizado.

y

grande josh!!!

rholando

que rápido llego a portada.......

D

#16 Gran ejemplo.

Por cierto, yo también tengo la misma duda que #4. ¿Por qué OpenDNS?

Annihilator

Pregunto desde la ignoracia; ¿Y porque en vez de usar los root servers la gente prefiere OpenDNS, controlado por una empresa privada?

P

#8 o alguno ¿cómo se hace en Ubuntu? Es que no lo tengo instalado aquí para buscar y es para decírselo a mi primo, que no se entera mucho del tema. Gracias

chencho

#21 man resolv.conf

campi

#38 si te registras puedes cancelar esa redirección
#37 no te has enterado todavía de como funciona opendns ?? tal como está montado solo podría fallar si los root servers son vulnerables y NO lo son..

D

#38 Al final creo que he conseguido solucionar lo que comentaba en #36, aunque de forma un poco chapucera, y que solo vale para redes pequeñas como la mía. Lo hice editan el archivo /etc/hots y añadiendo cada dirección seguido del nombre que tiene en la red. Es una solución chapucera, pero creo que no hay otra, yo al menos me rompí los cuernos varios días y no la encontré. De todas formas por eso que comentas me siguen sin convencer mucho los OpenDNS, pero si al menos no son vulnerables, habrá que usarlos aunque sea para salir del paso.

D

Mierda, yo uso los de Telefónica, tendré que cambiarlo.

El problema es que los de OpenDNS son una mierda, no se que demonios tienen pero no hay forma de usarlos en Linux sin que te impida acceder a la red local Windows con Samba.

d

El problema realmente es que el DNS de telefónica este devolviendo los datos por cache, ya que el exploit lo que envenena es el cache del DNS Server, porque sino, la petición la dirigiría al Dns del dominio, tal y como han explicado por ahí arriba.

chencho

Lo de OpenDNS no lo veo claro.

Si la respuesta del servidor DNS de OpenDNS viene replicada de un servidor desactualizado, éste (el openDNS) va a responder erroneamente ya que para él sería la correcta.

No se si me explico.

D

Demanda de Telefónica a Bandaancha en 5,4,3...

T

Qué bonitas ganas de tocar las narices al personal. Para empezar "hackeando" a mala leche para que el resto del mundo pueda hacerlo y fastidiar a los clientes de la operadora. La verdad, no me parece muy inteligente.

Pero más allá de eso, la operadora indicada es Telefonica-Data, que no es la misma Telefonica exactamente (sí es la misma, pero otra división por así decirlo), que provee adsl, imagenio y todas esas lineas de las que el personal se queja, y cuyas DNS empiezan todas por 80.58 y acaban por 61.250 / 61.254 / 0.33 / 32.97

Ese ISP es más bien para empresas (lo que también puede hacer pupa, claro que sí), pero esta noticia es de un amarillismo fino, fino.

Octabvious

#17 Los de OpenDNS habrán actualizado a la última versión del software que maneja las DNS en sus máquinas, y los telefónica no. Imagino que es por eso, pero no te lo puedo asegurar al 100%.
De todos modos hay que saber también que éste último soft aunque complica las cosas a los posibles atacantes, tampoco es invulnerable del todo al exploit.

V

Supongo que ya os habreis dado cuenta de que todo esto no es mas que un bulo para que useis OpenDNS, ¿verdad?.