Hace 15 años | Por --96353-- a kriptopolis.org
Publicado hace 15 años por --96353-- a kriptopolis.org

Era sabido que el parcheo de los servidores DNS frente a la vulnerabilidad presentada por Kaminsky representaba sólo un alivio temporal, pero nadie sospechó que durará tan poco. Hoy mismo, Evgeniy Polyakov se ha encargado de demostrar (exploit incluido) cómo un servidor DNS corriendo BIND con la última versión perfectamente parcheada continúa siendo vulnerable al envenenamiento de la caché. Parece que no nos vamos a librar, realmente preocupante si tenemos en cuenta los problemas que puede llegar a originar ataques a los servidores DNS.

Comentarios

D

#3 Los servidores DNS de OpenDNS son ten vulnerables como los demás.

Aitortxu

#15 OpenDNS no modifica "algunas" respuestas, solo aquellas que no forman un nombre de dominio (redirige a una página de búsqueda en Yahoo! en la que, efectivamente, hay publicidad) de hecho lo mismo que hace Google a través de la barra de Firefox.

Tampoco tienes porqué registrarte, aunque puedes hacerlo para cambiar algunos parámetros, como los filtros de sitios para adultos, etc...

No es la panacea, esta claro.

De todas formas, si quieres, puedes votar #3 con un negativo.

Aitortxu

Y recordemos el propio artículo meneado:

"Attack took about half of the day, i.e. a bit less than 10 hours.
So, if you have a GigE lan, any trojaned machine can poison your DNS during one night..."

Antes del parche el tiempo promedio era de 5 minuntos.

"Exploit required to send more than 130 thousand of requests for the fake records"

Tal vez la solución pase por poner un tempban a estos flujos anormales de DNS en origen (ISP/Backnone) aunque requeriría aún mayor coordinación que el propio DNSSEC.

Aitortxu

#7 Creo que no, el propio Dan Kaminsky los recomendó en su momento.

Ellos mantienen unos grandes caches (ergo pocas actualizaciones), su software no es bind (de hecho está hecho a medida), no permiten actualizaciones cruzadas en error, por lo que el vector del ataque está cortado.

Seguro que no son invulnerables (nada lo es) pero, al menos que se sepa, no son vulnerables al famoso bug.

#8 El problema de DNSSEC es que, desgraciadamente, está un poco verde aún.

D

Más info (en inglés): http://www.endeavorsecurity.com/dns.php

Aitortxu

¡Venga, todos a OpenDNS!

rasca

#15 Además de lo que te dice #16 hay una extensión para Firefox para bloquearlo (y que te lleve a la página de "voy a tener suerte" de Google).

D

#5 ¡ marca ahora 89.17.194.8 y obtén 50% de descuento en todos tus envios!

Como que eso no seria muy bien visto...no es practico.

D

Esperemos que saquen algun parche que arregle esta vulnerabilidad pronto.

Pensar que la respuesta que te devuelve un servidor DNS puede estar falseada tirará por tierra muchos esfuerzos para aumentar la seguridad en la red.

Menos seguridad = menos dinero = menos financiacion en proyectos = Problema gordo

damocles

Parche definitivo: Todo el mundo a escribir el número IP en la barra de direcciones del navegador... no es tan mal, le decimos a las personas que se navega la Internet como si fuese haciendo llamadas telefónicas.

s

al menos es un avance

D

Y... un poco de SPAM de la nueva era, visiten HTTP://89.17.194.17 ¡el mejor número web!

D

#9 ¿y cuanta gente [con conocimientos] crees que trabaja cerca de los servidores DNS?

Esto es terrible, pensar que hasta hoy todo ha estado así...
¿Quien sabe cuando se descubrió? con una buena página/servidor intermedia/o nadie nos daríamos nunca cuenta de que estamos siendo victimas de pishing y nos pueden haber robado todos los datos, conversaciones que les plazca...

DiThi

#3 #7 ¡Todos a usar DNSSEC!

D

internet se rompe!

Annihilator

#3 ¿Cuando podré votar de SPAM a los comentarios? OpenDNS si destaca por algo es por manipular algunas respuestas de DNS para insertarles publicidad. Además, tienes que registrarte.

¿Además de yo nadie más conoce los DNS Root Servers?