Historias
Slashboxes
Comentarios
Búsqueda

Un agujero de seguridad en un servicio DNS causa gran alarma

editada por manje el Miércoles, 09 Julio de 2008, 08:23h   Printer-friendly   Email story
desde el dept. la-pela-es-la-pela
Bug (errata)
El Mundo lo titula "Los gigantes de la Red se movilizan contra un grave agujero de seguridad", lo llaman "un importante fallo de seguridad que afecta a Internet en todo el mundo" y anuncia la pronta creación de un parche para solucionarlo. No obstante enlaza con otra noticia de abril en el mismo medio donde explica que el problema afecta solo a proveedores de EE.UU., a aquellos que usan un servicio de publicidad a el que los ISPs redireccionaban mediante DNS los dominios inexistentes. Este servicio tenía graves problemas de seguridad por lo que podía ser usado para técnicas de "phishing". En la noticia habla de Microsoft, Sun Microsystems y Cisco como los "grandes grupos de Internet" que han trabajado en silencio durante meses para desarrollar una solución ¿No deberían haber interrumpido este servicio vulnerable hasta aplicar las soluciones? ¿Es legítimo modificar el sistema DNS para captar dominios erróneos sin avisar al usuario que el dominio no existe? En vez de hacerse esta pregunta se elogia a Microsoft, Sun Microsystems y Cisco. Update: 07/09 14:44 GMT by manje : Varios comentarios me corrigen [1] [2] [3] [4], se trata del propio protocolo DNS, el que lo ha descubierto empezó investigando la noticia de los redireccionadores, para descubrir un problema mucho más serio.

«  La memoria también trabaja 'hacia adelante' | Corregido un error de hace 33 años en Yacc  »

Historias relacionadas

[+] Un agujero de seguridad en un servicio DNS causa gran alarma 24 comentarios
El Mundo lo titula "Los gigantes de la Red se movilizan contra un grave agujero de seguridad", lo llaman "un importante fallo de seguridad que afecta a Internet en todo el mundo" y anuncia la pronta creación de un parche para solucionarlo. No obstante enlaza con otra noticia de abril en el mismo medio donde explica que el problema afecta solo a proveedores de EE.UU., a aquellos que usan un servicio de publicidad a el que los ISPs redireccionaban mediante DNS los dominios inexistentes. Este servicio tenía graves problemas de seguridad por lo que podía ser usado para técnicas de "phishing". En la noticia habla de Microsoft, Sun Microsystems y Cisco como los "grandes grupos de Internet" que han trabajado en silencio durante meses para desarrollar una solución ¿No deberían haber interrumpido este servicio vulnerable hasta aplicar las soluciones? ¿Es legítimo modificar el sistema DNS para captar dominios erróneos sin avisar al usuario que el dominio no existe? En vez de hacerse esta pregunta se elogia a Microsoft, Sun Microsystems y Cisco. Update: 07/09 14:44 GMT by manje : Varios comentarios me corrigen [1] [2] [3] [4], se trata del propio protocolo DNS, el que lo ha descubierto empezó investigando la noticia de los redireccionadores, para descubrir un problema mucho más serio.
[+] Cómo parchear BIND9 contra el 'DNS Cache Poisoning' 9 comentarios
Falko Timme nos cuenta: «Dan Kaminsky anunció a principios de este mes un problema de 'envenenamiento' de las cachés de DNS que podría permitir a atacantes comprometer cualquier servidor de nombres e incluso extenderlo a sus clientes. He publicado dos artículos que explican cómo arreglar un servidor de nombres BIND9 en Debian etch y en Fedora/CentOS, de modo que ya no sean vulnerables a ataques de "DNS cache poisoning".»
[+] El parche para el DNS no resuelve el problema 6 comentarios
Un pobrecito hablador nos cuenta: «[Vía Kriptópolis] Por lo visto el parche de seguridad para la vulnerabilidad del DNS no resuelve el problema del envenenamiento de la caché. El ruso Yevgueni Poliakov ha demostrado que continúa siendo vulnerable. Recordemos que no se trata de un bug exclusivo de BIND, sino del sistema DNS en general. DNSSEC no es una solución definitiva pero funciona a juicio de Poliakov, aunque a DJ Bernstein no le gusta. Pero incluso el DJBDNS de Bernstein, considerado el servidor DNS más seguro, es igualmente vulnerable según afirma Poliakov, pese a que el NYT diga que no lo es
Un agujero de seguridad en un servicio DNS causa gran alarma | Log in/Crear cuenta | Top | 24 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Hacerse, con H

    (Puntos:2, Informativo)
    por pelotondefusilamient (33543) el Miércoles, 09 Julio de 2008, 08:57h (#1063325)

    En vez de Hacerse esta pregunta se elogia a Microsoft, Sun Microsystems y Cisco.
    --
    Se añade al final de los comentarios que publiques. 120 caracteres.
    [ Responder ]

  • Campanas de Belén...

    (Puntos:4, Informativo)
    por pobrecito hablador el Miércoles, 09 Julio de 2008, 08:58h (#1063326)
    Dan Kaminsky Discovers Fundamental Issue In DNS: Massive Multivendor Patch Released [securosis.com]

    The issue is extremely serious, and all name servers should be patched as soon as possible. Updates are also being released for a variety of other platforms since this is a problem with the DNS protocol itself, not a specific implementation . The good news is this is a really strange situation where the fix does not immediately reveal the vulnerability and reverse engineering isn't directly possible.

    executive overview (PDF) [securosis.com]
    CERT Advisory (doc) [securosis.com]

    Dan just released a "DNS Checker" on his site doxpara.com [doxpara.com] to see if you are vulnerable to the issue.
    [ Responder ]

  • no no no

    (Puntos:4, Informativo)
    por Ballfire (6514) el Miércoles, 09 Julio de 2008, 09:00h (#1063327)
    ( http://barrapunto.com/ | Última bitácora: Jueves, 31 Julio de 2008, 19:47h )

    no no no. ¡No te has enterado de nada!

    El problema está en el propio protocolo DNS, lo que pasa es que el que lo ha descubierto empezó investigando la noticia de los redireccionadores, para descubrir un problema mucho más serio.

    A pesar de que el mundo diga que no habrá detalles de la vulnerabilidad hasta la conferencia de Black Hat se pueden leer algunas pinceladas en múltiples 'advisory' que dan una muy buena idea de por dónde van los tiros.

    por ejemplo: Aquí [cert.org]

    Pero bueno, como Elmundo es un medio de reconocido prestigio en el tema tecnológico mejor enlazarles a ellos.....

    PD: Barrapunto ya no es lo que era. :)

    [ Responder ]
    • Re:no no no de Ballfire (Puntos:3) Miércoles, 09 Julio de 2008, 13:00h
    • 1 respuesta por debajo de tu umbral de lectura actual.

  • Problema conocido desde hace tiempo

    (Puntos:5, Informativo)
    por Drizzt (39) el Miércoles, 09 Julio de 2008, 09:10h (#1063332)
    ( http://icewinddale.blogspot.com/ | Última bitácora: Domingo, 07 Marzo de 2004, 12:25h )
    Cuando D. J. Bernstein cuando desarrolló el djbdns [cr.yp.to] ya observó la el problema [cr.yp.to].

    A DNS client will accept any response that shows up at the right time, is addressed from the IP address of the legitimate server, is addressed to the UDP port used in the DNS query, repeats the query name and type used in the DNS query, and repeats the 16-bit ID used in the DNS query.

    An active sniffing attacker can easily forge responses by copying information from queries. Blind attackers need to guess the time, UDP port, and ID for the targeted query name.

    Su solución fue usar un generador aleatorio para el identificador de transación y el puerto origen (en vez de fijarlo al 53).

    Si leemos los créditos de la noticia del CERT:

    Thanks to Dan Kaminsky of IOActive for identifying the effectiveness and practicality of DNS cache poisoning, and to Paul Vixie of Internet Systems Consortium (ISC) for raising the urgency of these issues. Daniel J. Bernstein is credited with the original idea and implementation of randomized source ports in the DNS resolver
    De todas maneras, el DNS o SMTP son protocolos pensandos para una Internet que ya no existe: ninguno de ellos se diseño pensando en la seguridad.
    --

    -- icewinddale.blogspot.com [blogspot.com]

    [ Responder ]

  • Critica constructiva

    (Puntos:3, Informativo)
    por guillersk (18345) el Miércoles, 09 Julio de 2008, 12:30h (#1063412)
    ( http://barrapunto.com/ )
    Lo siento pero esta noticia es que no hay por donde cogerla.

    El Mundo lo titula "Los gigantes de la Red se movilizan contra un grave agujero de seguridad", lo llaman "un importante fallo de seguridad que afecta a Internet en todo el mundo" y anuncia la pronta creación de un parche para solucionarlo.
    Hasta aqui bien

    No obstante enlaza con otra noticia de abril en el mismo medio donde explica que el problema afecta solo a proveedores de EEUU, a aquellos que usan un servicio de publicidad a el que los ISPs redireccionaban mediante DNS los dominios inexistentes. Este servicio tenía graves problemas de seguridad por lo que podía ser usado para técnicas de "phishing
    Como han dicho por arriba el problema en dns se descubrió analizando estas peticiones, no esta relacionado con ellas, por lo tanto esta parte ya está mal, pero se puede pasar por desconocimiento (del redactor de El Mundo y del de la notícia)

    En la noticia habla de Microsoft, Sun Microsystems y Cisco como los "grandes grupos de Internet"
    Pues si, si son grandes ( Microsoft y cisco al menos desconozco el porcentaje de servidores dns de sun, pero unos cuantos seguro que son) aquí, empezamos a el desvarío (con perdón) por que también se han enviado parches para muchas versiones de unix/linux por tanto El Mundo es incompleto, pero el redactor, al solo leer la noticia en El Mundo, queda también incompleto.

    que han trabajado en silencio durante meses para desarrollar una solución ¿No deberían haber interrumpido este servicio vulnerable hasta aplicar las soluciones?
    Festival del humor! ¿Que servicio vulnerable interrumpimos, DNS o el redireccionamiento? y por que tiene que interrumpirlo microsoft/Sun/Cisco? no sabia yo que Microsoft puede interrumpir el dns de comcast por ejemplo, redireccione o no. Vamos, que se lee Microsoft y ya la culpa es de Bill gates que tiene rabo y cuernos como todos sabemos.
    Fallos:
    - Mala fuente (desde cuando El Mundo es fuente de noticuas tecnologicas para barrapunto? no debería ser al revés?
    - Sin comprobar la autenticidad / correción de la noticia.
    - Metámonos con Microsoft, que hoy es miércoles!
    Sinceramente esta noticia me la esperaría mas de mename, que de barrapunto, prefiero que se tarde mas en publicarlo pero que esté bien redactada que se publique cualquier cosa que lleve a confusión.
    Gracias.
    .
    --
    An old man dies, a young girl lives; A fair trade
    [ Responder ]

  • kb951748

    (Puntos:1, Informativo)
    por pobrecito hablador el Jueves, 10 Julio de 2008, 05:43h (#1063640)
    Problema con el parche para el dnsclient de los XP.

    kb951748 [microsoft.com]

    Uso Zonealarm. Después de instalar este parche, ninguna aplicación lograba conectarse a internet. Ni zatoo, ni winamp, ni ffox, ni outlook, ni miranda, ni ymessenger, ni eudora... nada.
    Desde el cmd, tanto el ping como el tracert sí lograban respuesta tanto de ip como de resolución de nombres.

    Quité el Zonealarm, y volvió internet a las aplicaciones. Pero como no me gusta andar sin fw, desinstalé el parche. Todo arreglado, hemos vuelto al statu quo. Mola.

    En rigor, el problema será de Zonealarm, que no será compatible con el parche, pero quien lo ha originado es el parche de MS.

    Por si a alguien le interesa: Known issues with this security update [microsoft.com]

    Salud, paz y bien.
    [ Responder ]

  • Re:no lo entiendo muy bien

    (Puntos:1, Informativo)
    por pobrecito hablador el Miércoles, 09 Julio de 2008, 20:43h (#1063567)
    esto pues ya me había leído el http://www.kb.cert.org/vuls/id/800113 [cert.org]

    quizás puedes empezar por http://en.wikipedia.org/wiki/DNS_cache_poisoning [wikipedia.org]

    pero yo sigo impresionado de que pase ahora y de esta manera.
  • 5 respuestas por debajo de tu umbral de lectura actual.