Sec o no sec

Never Stop Securing?.

Posts Tagged ‘vulnerabilidad’

DNS en problemas … 2

Posted by vmforno on 2008/08/01

Han sido unas semanas de locos en el mundo de la “triple W” … la vulnerabilidad descubierta por Dan Kaminsky fue cuestionada, luego alguien reencontro la misma vulnerabilidad y la hizo pública, se crearon los primeros exploits y finalmente ya se presentaron los primeros ataques.

La vulnerabilidad puede ser explicada de la siguiente forma:

– Cada vez que navegas, tus consultas al servidor  DNS que tengas configurado para resolver nombres, buscará entre todos los servidores DNS de la web por la dirección IP del nombre que buscas, esto es lo se llama “recursión”. Por lo tanto tendrás varias consultas encolados, esperando …
– Si tu servidor DNS no hace las búsquedas utilizando puertos aleatorios (de salida, recuerda que el protocolo define el UDP 53 para las respuestas) y hace más aleatorio el ID de cada consulta (recuerda revisar el formato del paquete/datagrama según la RFC ), algún ataque puede enviarte respuestas especialmente formadas para envenenar tu DNS (“DNS cache poisoning”), por lo tanto tu navegación puede ser redirigida a cualquier parte.

Puedes ver la explicación que hace Dan en su sitio web,

Aunque él no hace mención a las cosas que aumentan los riesgos, como que las sesiones UDP son fácilmente suplantables (spoof) ó que el ID de sesión es un valor de 16-bit, ni tampoco que el ataque puede ir en escalada (imagina que hace un spoof de un servidor DNS a otro controlado por el atacante).

Por lo tanto: A PARCHAR tu servidor.

Aunque, existen algunos problemas de performance con los parches publicados para los DNS, la reducción en la capacidad de respuesta ó lentitud en ellas es un mal menor para la avalancha, que seguramente será corregido las próximas versiones. Hay que entender que el tiempo de investigación fue muy reducido intentado solucionar/parchar esta vulnerabilidad.

Para colmo, dicen que uno de los primeros afectados fue el creador del primer exploit para esta vulnerabilidad (ref. PCWORLD) … aunque siempre hay dos versiones (mínimo) para una misma historia ( la versión de HD Moore). Por último, la historia concluyó así.

Posted in Seguridad | Tagged: , , | Leave a Comment »

DNS en problemas

Posted by vmforno on 2008/07/24

Se ha producido un gran revuelo con la vulnerabilidad descubierta por Dan Kaminsky, desde aquellos que se rieron al saber de esto, con argumentos tales como:
– es imposible, es un sistema que lleva años operando y no ha mostrado grandes fallas
– está buscando publicidad

pero alguien lo escuchó y validó completamente, era el jefe … el papá del DNS (por lo menos en los sistemas *nix), un experto del ISC (no es el Internet Storm Center de SANS, es del Internet Systems Consortium) encontró que la amenaza era real.

Esto provocó que un avalancha de expertos (e inexpertos, más los sucios), se avocara a la tarea de descubrir que era lo que había encontrado Kaminsky, lo que se tradujo en un error de uno de ellos, encontró la falla en el sistema y cometió el pecado de comentarlo en Internet.

Weee .. todo el trabajo que había realizado Kaminsky con los fabricantes de sistemas y programadores para crear los parches (lo que haría todo buen investigador/samaritano) se fue a las pailas (chilenismo: “fue en vano”).
Nota: no fue tan feo el “condoro” (chilenismo: error, falla), porque la publicación fue sacada casi de inmediato.

Ahora ya es pública esta información, así que aquí relato mi experiencia al respecto:

Extrañamente con un compañero de la oficina nos percatamos de la misma falla/vulnerabilidad hace unas 3 semanas (cerca del 4 de Julio … OMFG … el Día de la Independencia, cuando Will Smith nos salvó de los marcianos). El servidor DNS iniciaba todas las consultas utilizando el mismo puerto de servicio … biiippbippp … alerta, el protocolo de transporte, ya sea UDP/TCP/da lo mismo P 😛 (Hint: revisar los RFC) establece que se utilizará un puerto aleatorio (generalmente el primero disponible) lo que le da un toque de aleatoriedad al sistema.

Por lo tanto, queda demostrado una vez más, que sí en Chile la investigación de la empresa privada o de las Universidades e Institutos fuese realmente buena y fomentada … podríamos decir que en Chile ya lo sabíamos.

Ahora que ya sabemos cual es el problema y ya están publicados los parches de casi todas las plataformas, llegó el momento de afrontar la realidad… ¿parchar o no parchar?… esa es la pregunta/problema.

Existen varias alternativas, una de las que me pareció muy interesante es reenviar todas las preguntas a un servidor que ya se encuentre parchado (ej: OpenDNS o construir/levantar un nuevo servidor DNS en paralelo con la última versión/parchado), la otra es utilizar un sistema que haga de proxy para las consultas que entregue la aleatoriedad (random) requerida como un iptables.

Para ver estas alternativas de solución, te sugiero revisar el sitio web de Dan Kaminsky (http://www.doxpara.com/?p=1165) y finalmente, hacer la prueba (DNS Checker) que se encuentra en la misma web.

UPDATE: Urgentemente deberías parchar tus servidores DNS, ya salieron exploits para esta vulnerabilidad, aquí una muestra

Suerte

Posted in Seguridad | Tagged: , , | Leave a Comment »