[Volontari] DNS

Franco Abitante franco a franco.abitante.name
Lun 28 Lug 2008 13:55:56 CEST 

furiafuranda a libero.it ha scritto:
> Se ho ben capito di cosa si tratta dovrebbe essere una falla che tra i forum girava già 20 giorni fa circa, ma solo da poco è venuta alla ribalta.
> Purtroppo è verò che l'attacco è portabile a qualunque sistema (Win - *nix - ...), basta che in esecuzione ci sia il fantomantico Bind.
>   

bind9 (e bind8) c'entrano poco, in senso stretto
il problema di cui si parla riguarda i meccanismi di autenticazione 
reciproca dei DNS server e coinvolge qualsiasi DNS, non solo Bind... in 
ambito open, ovviamente, Bind9 la fa da padrone ed è stato *quasi* 
immediatamente rilasciata una patch (circa una 20ina  di giorni fa un 
qualsiasi apt-get upgrade ha patchato tutti i Bind9)

> Quello che ti posso però anche dire è che le porte sono da controllare fino a un certo punto: portando un DNS poisoning, l'attaccante non "cambia" la porta delle richieste al DNS, che rimane sempre la 53, ma avvelena i record A che ci sono sulla tabella di BIND.
>   
infatti, le porte non c'entrano nulla: è nelle risposte alle query DNS 
che può annidarsi un avvelenatore, inducendo il proprio DNS a prendere 
lucciole per lanterne

> Purtroppo l'utente finale (noi, per intenderci) non ha molte armi a disposizione, perchè l'avvelenamento dovrebbe essere "trasparente".
> Non credo nemmeno che un analizzatore di traffico o un applicativo come Ettercap possa segnalarci l'attacco.
>   
vero... o quasi... a questo indirizzo http://www.doxpara.com/?p=1176 è 
possibile verificare che i DNS che si stanno usando siano "buoni": se 
sono avvelenabili, cambiare, anche provvisoriamente, i DNS in uso. In 
questo periodo io sto usando dei miei DNS server, che sono *sicuramente* 
buoni ( e comunque gli ho fatto il test), ma si possono usare, per 
esempio, gli OpenDNS (http://opendns.com) i quali, a dispetto del nome, 
non sono affatto open, ma sono comunque utilizzabili

> Quello che possiamo fare noi è:
> - aspettare che i server vengano patchati
> - non usare DNS "sconosciuti" (un DNS più grosso, a senso logico, dovrà essere anche maggiormente aggiornato)
>   
no, l'unica è verificare che i DNS che si stanno usando siano buoni: i 
DNS di Fastweb, per esempio (e quelli di Telecom credo pure), fino a 
qualche giorno fa non erano stati aggiornati e quindi sono a rischio, 
nonostante siano ben *conosciuti*

> - usare (se possibile) DNSSec, che permette la firma digitale dei dati da parte del DNS. Ovviamente anche il resolver deve supportare questa estensione.
>   

per la navigazione quotidiana la vedo dura


la cosa grave di questa faccenda è, appunto, che si tratta di una cosa 
*molto* grave e che, contemporaneamente, pare sia stata presa piuttosto 
sottogamba dai sysadmin.
l'utente comune, dal canto suo, non può fare proprio niente, se non 
cambiare DNS

Maggiori informazioni sulla lista Volontari