Názory k článku
Internet ohrozila největší bezpečnostní hrozba desetiletí

Je videt, ze pan D neprovozuje zadny zatizenejsi forwarding DNS server. V teto veci totiz ma O2 svym zpusobem pravdu - prvni patche, ktere se napr. na BIND objevily, byly mizerne a nameservery odpovidaly pomalu a mely s nimi pomerne velky load (pokud odpovidaji radove na stovky dotazu za sekundu, coz neni zadny problem). U te Telefonicy toho provozu musi byt jeste radove vice, nez stovky dotazu za sekundu, takze si dovedu velmi zive predstavit, co by se tam stalo a kolik by jim volalo nastvanych zakazniku, ze se jim "votvira pomalu Seznam".

Druha vec je, ze ani s timto patchem nejsou ty nameservery bezpecne, jen ten spoofing da trochu vic prace (ale tu stejne udela stroj, tak co).

Viděl jsem nějaké kalkulace, o kterých se docela dost lidí shodlo, že jsou správně, a ve chvíli, kdy se začne používat náhodný zdrojový port, tak ten datový stream už musí být vcelku velký. Více se dá najít na namedroppers.

Ostatni to zvladli horko tezko, za pouziti ruznych figlu a predevsim asi nemaji tak vytizene nameservery jako outú. S poslednim odstavcem naprosto souhlasim...

Zvladli to i provideri, kteri maji nesrovnatelne vice zatizene DNS nez nas drahy Kyslik.

Maily na zamestnance? :o)) Takze firma vybuduje model podpory a pak ho posle do kopru tim, ze na vsechny lidi rozda narodu prime maily. To je fakt parada. Bezte delat nekam sefa technicke podpory nebo treba centra rizeni site. S takovymi napady jiste prorazite!

Tiskovy mluvci je hlasnou troubou firmy. Nicemu nerozumi a je placen za okecavani chyb a propagaci sluzeb / vyrobku sveho zamestnavatele. Tiskovy mluvci neni ombudsman ani nezavisly technicky expert. Je tedy posetile ventilovat stesky nad bezpaternosti ci laickym blabolenim tiskovych mluvcich vseho druhu.

To se bobani z outů bojí používat google a najít si nějakou optimální alternativu k bindu, když s ním mají problémy? Třeba takové servery jako pdns-recursor, unbound, nebo maradns žádnou opravu ani nepotřebovali, jsou napsané velmi inteligentně s důrazem na bezpečnost a jsou daleko rychlejší, než bind. Jinak kde že kyslík nasazuje záplaty? Já mám stále freedns od vpn, bublidns se mi stále hlásí děravé... Shitt

Unbound je na světě chviličku. Nic jiného bych si na tak velkou instalaci nedovolil nasadit. Resp. ještě se používá CNS od Nominumu, ale to je tak asi všechno.

A bez konkrétní znalosti jejich infrastruktury a implementace DNS bych se neodvážil nic takového jako vy tvrdit.

Nehledě na to, že vaše logika je pokřivená. S bindem problém nebyl (i když nikde jsem neviděl, že by zrovna O2 používala Bind a zjišťovat se mi to nechce). A ve chvíli, kdy problém začal být, tak snad nechcete naznačit, že kluci z outů měli skočit na google a jen tak narychlo nasadit třeba Unbound, protože se jim líbí jeho modré oči?

Další stránka věci může být v tom, že například na DNS můžou mít nasmlouvané nějaké záruky od dodavatele a dodavatel záplaty nedodal.

Z prohlášení tiskové mluvčí to asi těžko rozkódujeme, že?

pdns-recursor byl a stale je v pohode. Schvalne jsem si zkusil nainstalovat verzi cca z prosince minuleho roku a dle zminene testovaci stranky mi to tvrdi Great... Jsem rad, ze jsem Bind nikdy nepouzival, stejne tak jako sendmail;-)

Protože toto jsme už viděli napadením přímo PC a překladem přímo tam. Škoda nebyla skoro žádná.
Bezpečné protokoly, které se používají, docela dobře vzdorují "mužíčkovi-uprostřed", tedy pokud uživatel není úplné pako.
Takže ano, riziko bylo, ale takové celkem normální, které odpovídá objevení viru nebo trojského koně.
Pochopitelně souhlasím s tím, že záplatovat se má.

Jedna věc je napadnout individuální PC. Druhá věc je napadnout DNS server ISP, kde ovlivníte tisíce uživatelů. Myslíte, že se mezi těmi tisíci nenajde alespoň jeden dva technicky málo zdatní uživatelé? Já myslím, že ano.

Bezpečné protokoly, které se používají, docela dobře vzdorují "mužíčkovi-uprostřed, tedy pokud uživatel není úplné pako."

Mate bohuzel pravdu pouze castecne. Bezpecne protokoly, tedy napriklad https, pouzivaji certifikaty. Certifikaty vydava certifikacni autorita. Narozdil od tech ceskych kvalifikovanych se tyto autority obvykle spolehaji na udaje z whois. Tedy na udaje, pro jejichz ziskani potrebuji zase DNS. Pokud je tedy utocnik dobre vybaven, nejprve si vystavi certifikat pro prislusny web, pak presmeruje provoz. A ani uzivatel, ktereho byste jiste neoznacil jako "uplne pako", nema sanci

Tak tohle me zajima, protoze tomu zase tolik nerozumim.

Lze tedy aspon rict, ze kdyz uz mam od banky certifikat pro https z drivejsi doby (doufejme ze spravny), tak ze v pripade utoku mi utocnik zkusi podstrcit jiny certifikat? Predpokladam, ze neceho takoveho by si mel prohlizec vsimnout a upozornit me.

Pokud máte banku déle než jeden rok, tak už určitě alespoň jednou vyměnila certifikát. Všiml jste si toho? Ne, takhle to nefunguje, pokud je certifikát podepsaný důvěryhodnou certifikační autoritou, tak se vám dole/nahoře objeví zámeček a je hotovo.

A co byste s tou informací udělal? Koukl se k nim na web (a adresu zjistil přes DNS)? Nebo jim zavolal na helpdesk (a telefon zjistil na webu, jehož adresu byste zjistil přes DNS)?

Neco na tom bude. Takze vlastne muzu zase jenom doufat... I kdyz pritelkyne je u jine banky a tam primo na papire dostala hash certifikatu. Ne ze by vedela, co s tim, ale ja bych treba vedel...

No a nebo znat ip adresu sve banky. Tu bych si asi mohl overit pres whois a doufat, ze hackeri nehackli whois.

UPC OK

Is recursive, with source port randomisation
?

Tohle prece o nicem nevypovida. Jen o tom, jestli je domena dotycneho provozovatele umistena na stejnych nameserverech, jako pouzivaji zakaznici pro sve dotazy.

Jak ty testy zjišťují, který DNS server mají prověřit? Nikde jsem tam nenašel políčko pro zadání vlastní IP, a na tlačítko "Test my DNS" dojde k otestování jiného serveru než mám podle smlouvy s poskytovatelem nastaven. Trošku to nechápu :-)

Ŕekl bych, že velice jedndouše. Vytvoří unikádní DNS méno, ala "nejakejnesmyslcojestenebyl.domena.com". Klient se dožádá jejich DNS serveru odpovědi, oni si zaznamenají source IP adresu a tu otestují. Čili, velice jednoduché, ale poměrně funkční, pokud souhlasí DNS resolved klienta a IP adresa, co se ptá jejich DNS (což nemusí vždy platit, ale ve většine případu ano). Případně jesli je po cestě forwarder, tak IP adresa bude jiná. Na druhou stranu, pravděpodobně správná z hlediska testu :)

R.

Tohle vysvetleni jsem tak nejak nepochopil a stejne tak chovani toho DNS testu.

Test mi na nekolika mistech vypisuje, ze otestoval IP adresu, na ktere zadny DNS server nebezi - v podstate vzdy vypisuje adresu, za kterou jsem schovany (NAT), pricemz na teto verejne adrese nebezi *zadna* sluzba, tedy ani DNS.

Nekde je zrejme chyba - bud ten test testuje jiny DNS server a spatne vypisuje IP adresu otestovaneho serveru, nebo si vymysli. Takze tak.

On si odpověděl, ale já bych se to pokusil více rozvést...

Testuje se IP adresa, ze které chodí dotazy, nezáleží na jaké adrese je server, kterého se ptáte vy, ale server, který se pak ptá autoritativního serveru. Jestli je mezi serverem, kterého se ptáte vy, a autoritativním server, který odpovídá, dalších 10 zřetězených serverů, se normálně vy už nedovíte, ale přitom stačí napadnout ten nejblíž autoritativnímu serveru (nebo nejdál vám), tedy ten, který komunikuje s "internetem".

To samé platí o NATu. Což je taková třešnička na dortu. Vy můžete mít zazáplatovaný DNS server a váš NAT pak bude tak hodný, že vaše náhodné porty zeserializuje... a jste tam kde jsme byli před aktualizací.

Nebo opačně, rozumný NAT skryje předvídatelný porty u vnitřího DNS :o)

R.

Ne, to není pravda. Jakkoli rozumný NAT nebude přemapovávat porty při každém nové DNS dotazu, který jde se stejnou zdrojovou adresou. Použije port, který má uložený v NAT tabulce.

Přesně jak říká přechozí post. Test testuje SKUTEČNOU IP adresu, která provádí patřičné query. Protože NAT, redirekty, forwardery, ... může být rozdílná od té, na které, z tvého hlediska, DNS bydlí. Nicméně, pokud je sít nakonfigurována rozumně, je neduležitější ten stroj, který provádí query. Pokdu je po cestě 10 forwarderů/caches, který akceptujou odpovědi odkudkoliv a DNS port mají přístupný z vnější sitě, pak netřeba komentáře :)

R.

Pokud máte nainstalovaný dig, tak můžete použít následující test, kde IP adresu testovaného serveru uvedete za zavináčem, např.

dig +short porttest.dns-oarc.net TXT @81.27.192.33

Možná je to jenom náhoda, ale tento týden mě připojení od O2 dost záhadně blbne a shodou okolností jsou to právě chyby DNS. Blíž jsem po tom nepátral, ale asi už se patchuje...

Smozřejmě souhlasím, že s křížkem po funuse :-(

Ja mel problem s pripojenim O2 predevcirem. Nejsem ale kdovijak fundovany spravce site a tak jsem se v tom nestoural a docasne jsem pouzil jineho poskytovatele. Takze u me to mohlo byt cimkoliv.

Casablanca je ok.

Posledni dobou mi firewall hlasil vetsi mnozstvi utoku typu ARP cache poisoning http://en.wikipedia.org/wiki/ARP_spoofing
Vcera jich ale bylo uz jen nekolik. Jste na tom nekdo stejne?

O teto slabine se pravda chvili vi, ale pokud byste chtel se znalostmi pred cervnem napadnou DNS, ktery nerandomizuje zdrojovy port, musel byste vystihnou spravne casove okno pro utok a to se otvira jen jednou za cas (TTL domeny na kterou utocite). Pravdepodobnost, ze se Vam podari ono casove okno vyuzit je pomerne mala, takze Vas utok by trval pravdepodobne velmi dlouho. Pan Kaminski dokazal, ze utok muzete provest v jakemkoliv case a jeste ho opakovat. To tedy znamena, ze i kdyz pravdepodobnost uspesneho napadeni daneho DNS serveru neni prilis vysoka, muze te jej okamzite opakovat, dokud se Vam to nepovede. (Navic jeste zpusob utoku mirne vylepsil.) Mimochodem ani pouziti randomizovaneho zdrojoveho portu nam nedava jistotu, pouze snizuje pravdepodobnost uspechu utoku! A proto "vylepseni" pana Kaminskeho naopak zvysuje sance utocnika otravit cache i takto "zabezpeceneho" DNS serveru. Jedine reseni, ktere se mi v soucasne dobe jevi jako bezpecne, je pouziti DNSSEC.

Když on DNSSEC znamená příliš velkou změnu infrastruktury. Přemýšlel jsem, jestli by nestačilo, kdyby forwardovací DNS server nejprve zkoušel TCP, a pak až UDP. To by přece (za cenu cca 3x víc packetů) mělo problém podvržených odpovědí řešit, ne?

-Yenya, http://www.fi.muni.cz/~kas/

Mělo, ale z reakcí jsem tak nějak vysledoval, že se do toho nikomu moc nechce.

S TCP je mimo jiné i problém, že to není jenom trojnásobný počet paketů, ale někdo ty spojení musí udržovat. Ať už server nebo routery po cestě, atp... Zatímco UDP je přijmu paket, zpracuju, pošlu odpověď, zapomenu. Bylo by o dost jednodušší cokoli zaDoSovat. Nezapomeňte, že se bavíme o provozu, kde nejsou neobvyklé stovky, tisíce (někde možná i více) dotazů za sekundu.

IP v odpovědi je špatná, za správnou tedy považuju odpověď s jinou IP

Co já vím, tak IP v odpovědi může být zcela libovolná, klidně náhodně generovaná. Nebo stejná jako IP oprávněného serveru.

To by platilo v případě TCP protokolu, kde probíha handshake. V případě UDP a DNS, kde se zasíla jen samostatný paket nikoliv. Není problém posílat zdrojovou IP stejou, jako má autoritatidní DNS. Ne každý ISP na hraničních routrech blokuje ze své sítě cokoliv, co nemá SRC z jeho rozsahů...

R.

Není to trošku pozdě psát o něčem, co je známo od června a úvahy o tom ještě déle???

Nejsem si uplne jisty, zda-li je spravne doporucovat OpenDNS jako reseni. Kdyz pominu fakt, ze nejake nezname firme vydavam voditka k tomu, aby zjistila, kam posilam e-maily a na jake stranky se divam, neprijde mi vubec stastne vytvorit DNS centrum (a opakuji spravovane neznamou instituci!) pro cely svet. Podle meho nazoru se tim jen vytvari misto, kam muzou (a budou) utocnici utocit, protoze maji zajistene, ze jejich utok bude mit velky dopad. A tim se tedy bezpecnost naopak snizuje.

Proto bych jako reseni OpenDNS rozhodne nedoporucil.

Internet vznikl jako decentralizovany, myslim, ze je moudre to tak zachovavat.

Více informací ohledně Kaminsky-style útoku na DNS najdete na firemním blogu CZ.NICu: DNS útok podle Kaminského.

...je okamžité a masové nasazení RFC 1149 ;)

... nerikej, ze si este nikdy nevidel otravenyho holuba :-)

No precetl jsem si prvni vetu:

"Avian carriers can provide high delay, low throughput, and low altitude service."

a neprijde mi, ze by se to hodilo na DNS provoz :)

Článek je myslím dobře napsaný a čtivý, ale chybí mu to nejdůležitější. Dan Kaminsky totiž přišel na to, jak přepsat cache DNS serveru a tím útok zrealizovat kdykoliv se útočníkovi zachce. Jinak by útočník musel čekat na to, než vyprší TTL, které ani nemusí znát.

Princip útoku spočívá v tom, že se zeptám na nějaký náhodný neexistující záznam a v odpovědi pošlu také AUTHORITY a ADDITIONAL sekci, ve které uvedu IP adresu serveru, který chci podvrhnout. Podrobně to je popsané v článku na .blog.

Jen drobné upřesnění:

Útočník TTL znát nepotřebuje. Mohl by tam ty podvržené pakety prostě cpát pořád dokola. Nicméně ho musí "znát" ve smyslu, že jediná chvíle, kdy může přepsat cache serveru, je mezi dotazem, který přijde po vypršení TTL a odpovědi na tento dotaz.

nejedná se o "poisioning" ale o poisoning ;-)

Dokonce i technt to má s chybkou, asi vykradl Lupu... :-) http://technet.idnes.cz/pozor-mozna-i-vase-internetove-pripojeni-je-zranitelne-pomozte-nam-otestovat-ceska-dns-gum-/sw_internet.asp?c=A080808_130923_bezpecnost_pka

Ne. Motáte dohromady IP a DNS. Tedy různé síťové vrstvy.

Zkratka TTL je pouziva v obou pripadech.