Vážna zraniteľnosť v DNS zrejme prezradená

DSL.sk, 22.7.2008

Princíp efektívneho útoku na slabiny systému DNS bol zrejme v pondelok uhádnutý Thomasom Dullienom, CEO spoločnosti Zynamics.com.

Keďže Dullien nesúhlasí s takmer mesačným utajením vážnej chyby, vo svojom príspevku na blogu špekuloval, čo by mohlo byť efektívnym útokom objaveným Danom Kaminskym.

8. júla bola oznámená vážna zraniteľnosť v DNS, ktorá umožňuje efektívny útok na väčšinu implementácií DNS serverov a klientov a umožňuje im efektívne podvrhnúť falošné DNS záznamy. Oznámenie detailov chyby je z bezpečnostných dôvodov naplánované ale až na začiatok augusta. O oznámení zraniteľnosti sme detailne informovali v tomto článku.

Podľa na začiatku júla naznačených informácií objaviteľ zraniteľnosti Kaminsky našiel nový efektívny spôsob útoku, ktorý využíva aj relatívne slabé 16-bitové ID DNS dotazu ale zrejme najmä novú techniku útoku. Pre väčšinu DNS produktov boli vydané aktualizácie, ktoré zvyšujú náhodnosť údajov overovaných pri prijatí odpovede z iných DNS serverov znáhodnením aj zdrojového UDP portu.

Dullien vo svojom príspevku navrhol potenciálne efektívny útok. Útočník sa v ňom nesnaží podvrhnúť falošný DNS záznam priamo pre DNS meno d.x, ktoré chce podvrhnúť, ale pre jeho DNS server, napríklad ns.d.x.

Dosahuje to zasielaním požiadaviek s ľubovoľnými pravdepodobne nenacachovanými napríklad .com doménami xN.com na DNS server, na ktorý útočí. Následne sa mu snaží podvrhnúť falošnú odpoveď od dôveryhodného DNS servera pre doménu .com, v ktorej uvedie ns.d.x ako menný server pre xN.com ale spolu s vlastnou IP adresou, ktorú má pod kontrolou.

Ak sa mu to podarí, keďže táto IP adresa pre ns.d.x zostane nacachovaná dlhší čas, môže zaslať požiadavku na preklad d.x, ktorú ale DNS server pošle na IP adresu kontrolovanú útočníkom a ten môže podvrhnúť ľubovoľnú odpoveď.

Bezpečnostná spoločnosť Matasano Security v pondelok na svojom blogu potvrdila, že naznačený útok je efektívnym útokom identifikovaným Kaminskym. V pôvodnom príspevku podľa dostupných informácií popisovala aj efektívnosť útoku a podvrhnúť nenacachovanú doménu malo byť možné s doterajšími implementáciami do približne desiatich sekúnd.

Pôvodný príspevok bol ale už stiahnutý a nenachádza sa ani v cache vyhľadávačov Google, Yahoo a Live. Náhradný príspevok ospravedlňujúci sa za zverejnenie predchádzajúceho ale potvrdzuje, že príspevok potvrdzujúci zraniteľnosť odhalenú Dullienom bol správny. Stiahnutý bol vzhľadom na dohodnutý termín oficiálneho zverejnenia zraniteľnosti na začiatku augusta.

Príspevok Dulliena, v ktorom odhaduje možnú zraniteľnosť pod prezývkou Halvar Flake, je možné nájsť tu.


Najnovšie články:



Diskusia:

Utorok, 22. júla 2008, dnes má meniny Magdaléna, zajtra Oľga Od: Tom. | Pridané: 22.7.2008 9:28 No uz je to v haji.. myslim, ze sprava sa uz dost rozsirila .. Odpovedať Hodnotiť:

Re: Utorok, 22. júla 2008, dnes má meniny Magdaléna, zajtra Oľga Od reg.: Don Mums | Pridané: 22.7.2008 12:41 Nechcem urazat dsl.sk ale ak tu spravu stiahli tak na to mali padny dovod a preto by ste ju mali stiahnut aj vy. Myslim, ze o takto vaznej veci by sa nemalo hovorit pred oficialnym terminom. Odpovedať Hodnotiť:

Re: Utorok, 22. júla 2008, dnes má meniny Magdaléna, zajtra Oľga Od reg.: Redakcia DSL.sk | Pridané: 22.7.2008 13:08 Tá informácia je verejne prezradená, ak je to teda naozaj skutočne to, čo je tu popísané. Tí, pred ktorými sa tá informácia chránila, ju 100% zaregistrovali a teraz už neexistuje žiadny dôvod, aby ju chránili médiá. V prvom rade ju mali chrániť tí, ktorým bola zverená. Ten svoj príspevok stiahli práve preto, že ten svoj záväzok nedodržali. Odpovedať Známka: 3.3 Hodnotiť:

Re: Utorok, 22. júla 2008, dnes má meniny Magdaléna, zajtra Oľga Od reg.: John McClane | Pridané: 22.7.2008 13:10 Ak si to nemyslel ironicky, tak si dobry XYZ Odpovedať Hodnotiť:

Re: Utorok, 22. júla 2008, dnes má meniny Magdaléna, zajtra Oľga Od reg.: wavevlna | Pridané: 22.7.2008 23:30 hh, este je mozno cas, mozno je cracken na dovolenke... Odpovedať Hodnotiť:

ktory_komunista Od: whatsoever | Pridané: 22.7.2008 9:36 ktori blbec vymyslel DNS protokol? Mozno NSA :) Ja by som ho poslal na smrt Odpovedať Známka: 0.0 Hodnotiť:

Re: ktory_komunista Od: den | Pridané: 22.7.2008 10:19 Presne tak. Navrhni im ine riesenie ako DNS a daj ich dole! Odpovedať Hodnotiť:

Re: ktory_komunista Od: Rival-e | Pridané: 22.7.2008 10:21 co by si robil bez DNS protokolu a DNS zaznamov, nebodaj si pamatas vsetky IP adresy a do headra by si podvrhoval host, ktory prave xcesh vidiet? ber to tak, ze inet je aj pre lamy, a beznych uzivatelov. Odpovedať Hodnotiť:

Re: ktory_komunista Od reg.: ShodanN | Pridané: 22.7.2008 10:21 DNS nieje to nejlepsie co moze byt .. ale je to to najlepsie co sa da realne pouzivat, zatial. ale neboj casom sa snad na nieco prejde ... casom <0 ; 1000) rokov Odpovedať Známka: 3.3 Hodnotiť:

Re: ktory_komunista Od: neznalec | Pridané: 22.7.2008 12:19 si neznaly a preto nech ti je odpustene v nevedomosti a v trepani hluposti z toho odvodenych. Vzdy ked sa tvoj pocitac snazi kontaktovat iny pocitac, to znamena aj vytocenim adresy v internetovom prehliadaci, najskor kontaktuje prostrednika - dns server, ktory jeho (tvoju) poziadavku na beznu adresu ako napr. www.dsl.sk premeni na ip adresu v tvare xxx.xxx.xxx.xxx kde xxx su cisla a tato ip adresa prislucha k tejto adrese ktoru si zadal do prehliadaca a nastava presmerovanie na tuto ip adresu zatial co ty vidis za tym iba to www.dsl.sk ktore si zadal do prehliadaca. neexistuje iny sposob ako by to mohlo fungovat, vzdy potrebujes toho prostrednika ktory ta nasmeruje tam kam chces ist. Odpovedať Hodnotiť:

Re: ktory_komunista Od reg.: ShodanN | Pridané: 22.7.2008 13:52 No a ako si zistil podla toho co som napisal ze neviem ako pracuje Domain Name System ???? ale DNS protokol ma uz 25 rokov a za ten cas sa toho vela zmenilo ... da sa stale doplnat a upravovat, ale jadro je viacmenej to iste ... Odpovedať Hodnotiť:

vyssia moc?? Od: asd | Pridané: 22.7.2008 12:13 Zmizne clanok, zmizne aj z casche vyhladavacov... ?! To mi pripada ako praktiky pouzivane v diktaturach... O com je sloboda internetu? Kto je tu ta vyssia moc co si moze nieco taketo dovolit? Inak povedane keby ste mali fotografie americkeho prezidenta pachajuceho zlocin, ako viete ze za 10 minut po uverejneni na internete po nich nebude ani chyru ani slychu a na krku tajni?... (to bol hlupy priklad ja viem, ale bol to priklad toho preco sa mi to nepaci) V zaujme vyssej moci, (nasej bezpecnosti?), ututlat... ? :/ to je riesenie? Co zneuzitie takychto moznosti... ? Odpovedať Hodnotiť:

Re: vyssia moc?? Od reg.: Redakcia DSL.sk | Pridané: 22.7.2008 12:26 Ten článok, ktorý "zmizol", si samozrejme zo svojho blogu stiahli sami, keďže to explicitne potvrdili a zároveň prezradili ďalšie detaily skôr, ako sa dohodlo, že sa zverejnia. Prečo nie je v cache Google sa s istotou povedať nedá, ale zrejme keďže ho chceli stiahnuť, pričinili sa aj o stiahnutie z Google cache. Inak Google cache negarantuje, že bude uchovávať všetko, čo má Google zaindexované, je to najmä pomocný nástroj pri momentálnej nedostupnosti serverov. Odpovedať Hodnotiť:

DNS?? Od: trigger* | Pridané: 22.7.2008 17:58 no co sa uz len moze stat? Odpovedať Hodnotiť:

...... Od reg.: Snake. | Pridané: 22.7.2008 19:47 tak sprostym deckam nepojde chvilu azet alebo booom, toto su portaly ktore by som s radostou na nete ani nevidel, ostatneho bude skoda Odpovedať Hodnotiť:

Re: ...... Od: trigger* | Pridané: 22.7.2008 20:02 co je to boom a azet? Odpovedať Hodnotiť:

Re: ...... Od: moj clovek | Pridané: 23.7.2008 13:19 Si moj clovek a to s uplnou vaznostou. Mohli by sme sa spojit proti takymto portalom hlupych ludi a zniest ich z internetu. aspon azet. booom nepoznam, ale obavam sa ze skor ci neskor kazdy pubertak tam raz zapadne, je to ako mor alebo aktualne aids. strasne zistenie ze vase dieta navstevuje portal ktory obsahuje chat kde ine slova nepoznaju len tie hanlive. toto by som zakazal to uz nieje len tak to je krocik k tomu ze sa vase dieta zoznami s nejakym uchylakom a potom na to doplati cela rodina. zial pisem z vlastnej skusenosti. Odpovedať Hodnotiť:

Škoda slov. Od: Meno1 | Pridané: 23.7.2008 14:36 Nielen slovník, ale aj "prezliekanie" sa šťavnatej desiny za "šestnástku" a podobne. Chalanov nevynímajúc, len tým nejak klesá odvaha. Na "didžine" nejaká sedemnástka nazve chlapa nad 40 rokov starým buzerantom a pošle ho do pi.., a div že ho nevykope zo sály. 120Sk pitie je už bežný image aj v malých mestečkách kde je nejaká diskotéka pre sopľavých, hoci tam po 22-hej nemajú čo robiť... Pokec a podobné webové "príšery" využívajú aj niekoľko dcať-roční a je to pre ich rodiny tragédia. Ľudia sa vyzlečú pred neznámym diskutujúcim úplne do naha, ale naživo mu niesu schopní normálne podať aspoň ruku... Odpovedať Hodnotiť:

Re: Škoda slov. Od: ako som povedal | Pridané: 23.7.2008 14:53 ako som povedal je to tragedia a co je horsie, rodicia sa to dozvedia ako posledni. pocul som o pripade kedy sa mlady navonok rozumny chlapec dostal kvoli dievcatu z internetu na psichyatriu. to hovorime este o tom lepsom pripade. podobny pripad ale s omnoho horsim koncom sa stal ked mlady chlapec celkom vesely z jedneho dna na druhy vyskocil z okna a nikto nevedel preco. rodicia sa ale domnievaju ze ich syn sa stal prave obetou internetoveho chatovania a zobral to prilis vazne a podlahol stresu ktory sa z internetu zosypal na jeho krehku mladu dusu a podlahol. deju sa tam veci ktore hranicia mnohokrat s porusovanim zakonov, ludskych prav a podobne. osobne deti zatial nemam ale uz teraz viem ze ked deti budem mat tak urobim vsetko preto aby internetove chatovanie bolo pre nich tabu a ludi co to propaguju a tych co su tvorcami a majitelmi tychto zoznamovacich portalov by som normalne posielal za mreze na pekne dlhu dobu. Odpovedať Hodnotiť:

xxxxx Od reg.: wavevlna | Pridané: 22.7.2008 23:32 viete co nerozkoko3ujte sa tu nad stiahnutím nejakého článku, veď mne dsl.sk tiež pár x stiahla príspevok a nikto o tom nepísal... :D Odpovedať Hodnotiť:

Pridať komentár