Sec o no sec

Never Stop Securing?.

DNS en problemas

Posted by vmforno on 2008/07/24

Se ha producido un gran revuelo con la vulnerabilidad descubierta por Dan Kaminsky, desde aquellos que se rieron al saber de esto, con argumentos tales como:
– es imposible, es un sistema que lleva años operando y no ha mostrado grandes fallas
– está buscando publicidad

pero alguien lo escuchó y validó completamente, era el jefe … el papá del DNS (por lo menos en los sistemas *nix), un experto del ISC (no es el Internet Storm Center de SANS, es del Internet Systems Consortium) encontró que la amenaza era real.

Esto provocó que un avalancha de expertos (e inexpertos, más los sucios), se avocara a la tarea de descubrir que era lo que había encontrado Kaminsky, lo que se tradujo en un error de uno de ellos, encontró la falla en el sistema y cometió el pecado de comentarlo en Internet.

Weee .. todo el trabajo que había realizado Kaminsky con los fabricantes de sistemas y programadores para crear los parches (lo que haría todo buen investigador/samaritano) se fue a las pailas (chilenismo: “fue en vano”).
Nota: no fue tan feo el “condoro” (chilenismo: error, falla), porque la publicación fue sacada casi de inmediato.

Ahora ya es pública esta información, así que aquí relato mi experiencia al respecto:

Extrañamente con un compañero de la oficina nos percatamos de la misma falla/vulnerabilidad hace unas 3 semanas (cerca del 4 de Julio … OMFG … el Día de la Independencia, cuando Will Smith nos salvó de los marcianos). El servidor DNS iniciaba todas las consultas utilizando el mismo puerto de servicio … biiippbippp … alerta, el protocolo de transporte, ya sea UDP/TCP/da lo mismo P 😛 (Hint: revisar los RFC) establece que se utilizará un puerto aleatorio (generalmente el primero disponible) lo que le da un toque de aleatoriedad al sistema.

Por lo tanto, queda demostrado una vez más, que sí en Chile la investigación de la empresa privada o de las Universidades e Institutos fuese realmente buena y fomentada … podríamos decir que en Chile ya lo sabíamos.

Ahora que ya sabemos cual es el problema y ya están publicados los parches de casi todas las plataformas, llegó el momento de afrontar la realidad… ¿parchar o no parchar?… esa es la pregunta/problema.

Existen varias alternativas, una de las que me pareció muy interesante es reenviar todas las preguntas a un servidor que ya se encuentre parchado (ej: OpenDNS o construir/levantar un nuevo servidor DNS en paralelo con la última versión/parchado), la otra es utilizar un sistema que haga de proxy para las consultas que entregue la aleatoriedad (random) requerida como un iptables.

Para ver estas alternativas de solución, te sugiero revisar el sitio web de Dan Kaminsky (http://www.doxpara.com/?p=1165) y finalmente, hacer la prueba (DNS Checker) que se encuentra en la misma web.

UPDATE: Urgentemente deberías parchar tus servidores DNS, ya salieron exploits para esta vulnerabilidad, aquí una muestra

Suerte

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: