Comentarios en: Vulnerabilidad en DNS “disclosed” http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/ Blog de Seguridad de la Información de S2 Grupo Sat, 11 Feb 2012 09:31:50 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Por: kike http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/comment-page-1/#comment-145 kike Thu, 24 Jul 2008 09:33:20 +0000 http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/#comment-145 Bueno, jholguin, hay que decir en justicia que la entrada es en gran parte una traducción resumida de la explicación de Matasano, y creo que ha sido lo acertado porque los ejemplos son muy buenos (la analogía del sandwich, impagable :-) y su traducción bastante comprensible, como ha demostrado Manolo. Bueno, jholguin, hay que decir en justicia que la entrada es en gran parte una traducción resumida de la explicación de Matasano, y creo que ha sido lo acertado porque los ejemplos son muy buenos (la analogía del sandwich, impagable :-) y su traducción bastante comprensible, como ha demostrado Manolo.

]]> Por: kike http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/comment-page-1/#comment-144 kike Thu, 24 Jul 2008 09:27:04 +0000 http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/#comment-144 Los certificados no son la solución, el 95% de los exploradores son Internet Explorer e incluso Mozilla, tienen una lista muy grande de 'entidades certificadoras de confianza' como para conocer la seriedad de cada una en la emisión de certificados, así que dependiendo de la configuración del explorador muchos certificados son aceptados sin más por el navegador. Yo el mayor problema que veo es, en este caso, la propia jerarquía de DNS que hace que aunque parcheemos, si tenemos que redirigir peticiones ya estamos vendidos porque no podemos responder por el resto de cachés y servidores DNS del mundo mundial. Lo que nos llega como una respuesta válidad, ya puede haber sido manipulada antes. Los certificados no son la solución, el 95% de los exploradores son Internet Explorer e incluso Mozilla, tienen una lista muy grande de ‘entidades certificadoras de confianza’ como para conocer la seriedad de cada una en la emisión de certificados, así que dependiendo de la configuración del explorador muchos certificados son aceptados sin más por el navegador.
Yo el mayor problema que veo es, en este caso, la propia jerarquía de DNS que hace que aunque parcheemos, si tenemos que redirigir peticiones ya estamos vendidos porque no podemos responder por el resto de cachés y servidores DNS del mundo mundial. Lo que nos llega como una respuesta válidad, ya puede haber sido manipulada antes.

]]> Por: jholguin http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/comment-page-1/#comment-143 jholguin Thu, 24 Jul 2008 08:14:26 +0000 http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/#comment-143 Enhorabuena por la explicación de la vulnerabilidad ;) Enhorabuena por la explicación de la vulnerabilidad ;)

]]> Por: José Selvi http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/comment-page-1/#comment-142 José Selvi Thu, 24 Jul 2008 07:36:17 +0000 http://www.securityartwork.es/2008/07/24/vulnerabilidad-en-dns-disclosed/#comment-142 Para acabar de "meter miedo" (que nunca viene mal), ya existe un exploit para esta vulnerabilidad que está incluido ni más ni menos que en la Metasploit Framework que para el que no lo conozca es un entorno muy conocido para la realización de tests de intrusión que incorpora bastante exploits y que convierte la explotación de una vulnerabilidad en casi casi un "Siguiente Siguiente Aceptar Aceptar Siguiente Aceptar". ¿Que quiere decir esto?, pues que a partir de este momento cualquier "chaval" que sepa descargarse la metasploit y que tenga unos conocimientos no demasiado avanzados de seguridad es capaz de envenenar las cachés de nuestros servidores DNS. En cualquier caso (y esto sirve aunque no existiera esta vulnerabilidad) intentemos usar HTTPS y en general protocolos seguros mediante los cuales podamos verificar la identidad del sitio remoto revisando el certificado (ojo, protocolos como el HTTPS no sirven para nada si aceptamos cualquier certificado que nos llegue, quizá escribamos un post pronto sobre esto :P). Lo dicho, asustaros, asustaros y asustaros, y luego dejad el susto a un lado y a parchear. No está de más tampoco usar la herramienta metasploit para verificar que efectivamente no somos vulnerables, que es para lo que realmente está hecha :P . Saludos. Para acabar de “meter miedo” (que nunca viene mal), ya existe un exploit para esta vulnerabilidad que está incluido ni más ni menos que en la Metasploit Framework que para el que no lo conozca es un entorno muy conocido para la realización de tests de intrusión que incorpora bastante exploits y que convierte la explotación de una vulnerabilidad en casi casi un “Siguiente Siguiente Aceptar Aceptar Siguiente Aceptar”. ¿Que quiere decir esto?, pues que a partir de este momento cualquier “chaval” que sepa descargarse la metasploit y que tenga unos conocimientos no demasiado avanzados de seguridad es capaz de envenenar las cachés de nuestros servidores DNS.

En cualquier caso (y esto sirve aunque no existiera esta vulnerabilidad) intentemos usar HTTPS y en general protocolos seguros mediante los cuales podamos verificar la identidad del sitio remoto revisando el certificado (ojo, protocolos como el HTTPS no sirven para nada si aceptamos cualquier certificado que nos llegue, quizá escribamos un post pronto sobre esto :P).

Lo dicho, asustaros, asustaros y asustaros, y luego dejad el susto a un lado y a parchear.
No está de más tampoco usar la herramienta metasploit para verificar que efectivamente no somos vulnerables, que es para lo que realmente está hecha :P .

Saludos.

]]>