Details zeer ernstig DNS-lek op straat
Uitgebreide informatie over het DNS-lek dat vele miljoenen mensen in gevaar had kunnen brengen, en door Microsoft, Sun en Cisco begin juli werd gepatcht, is uitgelekt. Beveiligingsonderzoeker Dan Kaminsky wilde de kwetsbaarheid in het Domain Name System (DNS) pas volgende maand tijdens de Black Hat conferentie onthullen. Op deze manier zouden beheerders van kwetsbare DNS servers een maand te tijd krijgen om hun software te patchen.
En dat is nodig, want via de kwetsbaarheid kan een aanvaller iemand z'n websessie kapen en het slachtoffer naar een kwaadaardige server doorsturen om zo malware te verspreiden of vertrouwelijke informatie te stelen. Zo zou het mogelijk zijn om iemand naar een banksite door te sturen, terwijl dit niet de legitieme site van de bank is. Het slachtoffer zou niets doorhebben omdat zij netjes in de adresbalk het adres van de bank typt.
Een andere beveiligingsonderzoeker was het niet met de mening van Kaminsky eens dat het embargo systeembeheerders meer tijd geeft en besloot de patches te reverse engineeren om zo achter de details van het lek te komen, en dat is hem gelukt. Volgens Halvar Flake is het juist belangrijk om de kwetsbaarheid te bespreken, want de aanpak van Kaminsky geeft mensen alleen een "warm en veilig" gevoel.'
Flake's veronderstelling
Flake deed de volgende veronderstelling en die is volgens Kaminsky juist. De onderzoeker roept tevens iedereen op om NU te patchen.
"Mallory wil de DNS lookups van de server ns.polya.com voor het domein www.gmx.net vergiftigen. De nameserver voor gmx.net is ns.gmx.net. Mallory's IP is 244.244.244.244. Mallory stuurt nep requests voor www.ulam00001.com, www.ulam00002.com ... naar ns.polya.com. Ns.polya.com heeft deze requests niet gecached, dus vraagt aan een root server "waar kan ik de .com nameserver vinden?" Dan ontvangt het een verwijzing naar de .com nameserver en vraagt die waar het de nameserver voor ulam00001.com, ulam00002.com etc kan vinden.
Mallory spooft de verwijzingen naar ns.poly.com die afkomstig van de .com nameserver lijken. In deze verwijzingen laat het weten dat de nameserver voor ulamYYYYY.com een server met de naam ns.gmx.net is en dat die server zich bevindt op het IP-adres 244.244.244.244. Tevens is de time to live (TTL) van deze verwijzing lang. Uiteindelijk zal Mallory het lukken om de verwijzing te spoofen, bijvoorbeeld door de TXID te raden. Ns.polya.com zal dan cachen dat ns.gmx.net op 244.244.244.244 te vinden is."
GMX.NET staat er samen met WEB.DE naar mijn meening om
bekend dat zij vooral veel spam krijgen.1 op de 100 zal
legetiem zijn....
maar opzicht ,een griezelig spoof verhaal
vervangen door ieder ander willekeurig domein.
De oplossing is toch secure DNS?
nouja..
GMX.NET staat er samen met WEB.DE naar mijn meening om
bekend dat zij vooral veel spam krijgen.1 op de 100 zal
legetiem zijn....
maar opzicht ,een griezelig spoof verhaal
was al jaren bekend, dus wat is er nu uitgelekt ?
De patch bestaat uit het random genereren van de source poort
en dat koppelen aan de txid om de kans om het correct gespoofde
antwoord te verkleinen.
Je kunt ook je eigen private recursive DNS server gebruiken
zonder forwarders om dit soort truuks te voorkomen.
Deze techniek was toch al lang bekend?
De oplossing is toch secure DNS?
root DNS servers (of het ritsje .com)? Enig idee wat de load
op die machines nu is? Wat denk je dat de load zal worden
als er ook nog allerhande crypto spul moet gaan draaien?
Leer eens schrijven, want dit doet pijn aan mijn ogen.
een forum dat primair door techneuten bezocht wordt. Reageer
inhoudelijk of reageer niet.
Leer eens schrijven, want dit doet pijn aan mijn ogen.
een forum dat primair door techneuten bezocht wordt. Reageer
inhoudelijk of reageer niet.
niet nagenoeg foutloos is.
Er is toch niets op tegen om even je tekst na te lezen en fouten te verbeteren!
Tevens is Security.nl natuurlijk niet het domein van alleen techneuten,
maar ook anderen. Voor Techies onder elkaar ga je bijvoorbeeld naar
usenet.
voelleedig te zijn. Darom is het belangerijk da je goet kan
spelle ook. Grammateca en zinsopbouw en konsiestensie is ook
belangenrijk.
Ik ben ervoor om andere te verbeteren omdat het je scherp hou.
Je kunt ook je eigen private recursive DNS server gebruiken
zonder forwarders om dit soort truuks te voorkomen.
Run a local DNS cache
In lieu of strong port randomization characteristics in a stub resolver,
administrators can protect their systems by using local caching full-service
resolvers both on the client systems and on servers that are topologically
close (on the network) to the client systems. These resolvers should be used
in conjunction with the network segmentation and filtering strategies
mentioned above.
Niemand hier ooit van dyslexie gehoord?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
