[Linuxtrent] Rivelati i dettagli del problema nel protocollo DNS
- From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 20 Aug 2008 16:14:30 +0200
Non credo se ne sia parlato in lista, ma credo si tratti di un
problema di sicurezza notevole.
In sostanza ad essere attaccabile non è questo o quel software, ma il
meccanismo di azione stesso
del sistema DNS
In sostanza viene attaccato il modo in cui i server delegano le
risposte; se un server
non possiede la risposta subito, invia un messaggio al richiedente
specificando il nome
del server che può gestirla, *e anche il suo ip*.
L'attacco si basa sul tentativo di rispondere con un ip sotto il
controllo dell'attaccante.
Il protocollo prevede un ID randomizzato per la richiesta originale,
ma l'idea fondamentale
di Kaminski è che si può aumentare di molto la fattibilità di
indovinare la risposta se si
riesce ad indurre il server che la origina ad emettere molte richieste
di risoluzione per
host inesistenti nel dominio in oggetto.
In questo articolo si spiegano i dettagli:
http://lwn.net/SubscriberLink/293647/006a508bb8912c5f/
".. In his testing, Kaminsky found that he could poison a cache like
this in less than 10 seconds. ..."
a parziale rassicurazione, una delle contromisure adottate consiste
nel randomizzare la porta UDP
su cui il server si attende una risposta, ma non so se questa misura
sia attuata praticamente.
inoltre anche questa misura non sembra realmente efficace:
"That seems like it would take the attack out of the realm of
possibility, but that clearly isn't the case. Kaminsky
and the vendors all knew that adding source port randomization only
made it harder—not impossible.
Linux kernel hacker Evgeniy Polyakov has done some experiments with
the patched version of BIND
on a gigabit ethernet LAN, finding that he could poison a cache in
under ten hours.
As he points out: "So, if you have a GigE lan, any trojaned machine
can poison your DNS during one night." "
Una cache DNS avvelenata può, ad esempio, completamente inefficace
SSL/TLS per l'autenticazione di siti web, dato che
il meccanismo di certificazione si basa su nome e non sull'ip.
Kaminski ha anche presentato numerosi possibili attacchi assai meno ovvi:
"Kaminsky points out a number of non-obvious places where it is
used—and could be abused—such as mailer lookups of HELO strings to try
and decide whether to accept email or web servers doing reverse
lookups for logfile messages. It is a little surprising that something
so integral had such an obvious, in retrospect, flaw in its design
that went undetected for around 25 years. It makes one wonder what
else is lurking out there."
Ciao,
Rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
