Exploit látott napvilágot a Dan Kaminsky-féle DNS sebezhetőséghez

Titkosítás, biztonság, privát szféra

Egyre sürgetőbbé válik a Dan Kaminsky által jelzett "cache poisoning" DNS sebezhetőség mielőbbi javítása, mert a Metasploit framework néven ismert támadás- és behatolástesztelő keretrendszerbe bekerült egy, a hiba kihasználására írt exploit.

Az exploit elkészítéséhez a Metasploit mögött álló HD Moore a I)ruid néven ismert biztonsági szakértővel állt össze. Moore elmondása szerint az elkészített exploit 1-2 perc alatt képes "megmérgezni" a DNS cache-t, de a kutató jelezte, hogy már dolgozik a gyorsabb, 2.0-s verzión.

Dan Kaminsky egy interjúban beszél a bugról. Kaminsky terve eredetileg az volt, hogy az összehangolt "multivendor" javítás után a Black Hat konferencián beszél majd a sebezhetőségről, de a részletek hamarabb kiszivárogtak. A Matasano szivárogtatott idő előtt, állítólag véletlenül. Ugyan a részleteket később megpróbálták nyom nélkül eltávolítani az internetről, de már későn. Több helyre is replikálódott a tartalom.

További részletek itt.

( pinyo_villany | 2008. 07. 24., cs – 19:49 )

jeee, akkor megint pár hét nem mondom milyen szolgáltató szarakodás lesz, annó februárban is volt, a cve-2008-0600-al kapcsolatban, meg akkor is volt valami bind sebezhetőség...
___
info

( colos | 2008. 07. 24., cs – 20:53 )

Ha a szolgaltato nem frissit akkor megoldas lehet a problemara vmilyen free dns szolgaltato? (opendns, xname, stb)

udv Zoli

Aszondják az opendns megoldás.

"DNS bug is public. You need to patch or switch to opendns - RIGHT NOW."

Én spec. évek óta használom ezen a gépemen az opendns-t. Amikor ez a cikk született, akkor beállítottam és úgy maradt :) Azóta is probléma nélkül megy.

--
trey @ gépház

Ezen az OpenDNS-en is csodálkoztam először. Hihetetlen, hogy ebből is meg lehet élni.

Mondjuk ez a "we're faster" szöveg vicces annak fényében, hogy csak az USA-ban és Londonban vannak szervereik, azaz az internetes userek nagy része valószínűleg gyorsabban kap választ az ISP-je cache-étől (még ha annak ki is kell mennie a hálózatra), mint az OpenDNS cache-éből.

Helyi cache válaszidők másodpercben:
cached: 0.00302144
rndhu: 0.01929832
rndcom: 0.0729346

OpenDNS válaszidők másodpercben:
cached: 0.03553259
rndhu: 0.0624554
rndcom: 0.16359244

cached: megvan a cache-ben
rndhu: véletlen .hu-s domain (ki kell menni, megkérdezni a hu TLD-t kiszolgáló NS-ektől)
rndcom: ugyanez, de .com-mal.

100 kérés átlaga. A .com 72 ms Magyarországon lehetne alacsonyabb is, hiszen a BIX-en van k-root replika, ha arra rászokik egy NS, nagyon gyorsan tud választ kapni.

Nekem pl. semmivel sem lassabb az opendns, mint más itthoni name serverek Sőt, van hogy gyorsabb is.
Ez ugyanolyan érthetetlen, mint az amikor mondjuk sourceforge-ról akarok tölteni valamit, és az amerikai ftp szerverről gyorsabban jön a cucc, mint a svájci, német vagy akár a román ftp-ről...
--
Discover It - Have a lot of fun!

Nyilván nem mindegy, hogy melyik országban vagy, milyen kapcsolatai (és NS-ei, ha azokkal hasonlítasz) vannak az ISP-dnek, és persze az is számít, hogy min lógsz.
Ha magának az elérési útnak, ami hozzád vezet az ISP-től van egy 30-60 ms-os késleltetése, a fenti eltérést jóval kevesebbnek fogod érezni, ha meg ennek tízszerese, kb. észre sem veszed.

Milyen 30-60 ms az ISP-től? :) 


PING 208.67.220.220 (208.67.220.220) 56(84) bytes of data.
64 bytes from 208.67.220.220: icmp_seq=1 ttl=51 time=36.3 ms
64 bytes from 208.67.220.220: icmp_seq=2 ttl=51 time=36.2 ms
64 bytes from 208.67.220.220: icmp_seq=3 ttl=51 time=36.1 ms
64 bytes from 208.67.220.220: icmp_seq=4 ttl=51 time=36.5 ms
64 bytes from 208.67.220.220: icmp_seq=5 ttl=51 time=36.3 ms
64 bytes from 208.67.220.220: icmp_seq=6 ttl=51 time=36.2 ms
^C
--- 208.67.220.220 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5003ms
rtt min/avg/max/mdev = 36.167/36.305/36.518/0.219 ms

36 ms alatt megjárja az amerikai opendns-t is :D
A szolgáltató dns-én most épp gyors a lekérés, 4,5 ms a ping, de van hogy ez nagyon belassul.
--
Discover It - Have a lot of fun!

na most en is atallitottam a routert opendns-re, mivel a Kaminsky oldala szerint a szolgaltatom sebezheto. cselesen Trey a cikkedbol vettem a nameserver IP cimet nem az opendns oldalarol - hatha mar megmergeztek a szolgaltatom dns serveret, es akkor nyilvan eloszor az opendns-t helyettesitik egy rosszindulato site-tal ;)

szerk: hmm, ugy tunik most meg nem rosszindulatu oldalra mutatott a www.opendns.com, esetleg akkor majd most en cache poisonolok :)

- Use the Source Luke ! -

Én is Trey cikkéből vettem a két címet.
Most álltam át a cégnél erre - úgy tűnik, a pénteki "munkaforgalomban" is mintha gyorsabb lenne.
Otthon kifejezetten gyorsabb - gondolom elsősegélyként kikapcsolták a cache-t a szolgáltatómnál.

;-O egész pontosan (magyarul) mi van leírva itten?:

http://forums.spybot.info/showthread.php?p=214704

idézet:

Welcome to Safer Networking, I wish to be sure you have viewed and understand this information.
"BEFORE you POST" (READ this Procedure before Requesting Assistance)
http://forums.spybot.info/showthread.php?t=288
All advice given is taken at your own risk.
Please make sure you have read this information so we are on the same page.

I am sorry to be the bearer of bad news you have a Vundo infection but you also have several backdoor type trojans:
O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOCUME~1\ELPRES~1.000\LOCALS~1\Temp\winlogan.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
You also have a marker that indicates you are probably hacked by Ukrainian criminals.
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E0FA031-8FB4-41EC-93BE-BF50B318F64F}: NameServer = 208.67.220.220,208.67.222.222
A Backdoor is a software program that gives an attacker unauthorized access to a machine and the means for remotely controlling the machine without the user's knowledge. A Backdoor compromises system integrity by making changes to the system that allow it to by used by the attacker for malicious purposes unknown to the user.

One or more of the identified infections is a backdoor trojan.
This allows hackers to remotely control your computer, steal critical system information and Download and Execute files
I would counsel you to disconnect this PC from the Internet immediately. If you do any banking or other financial transactions on the PC or if it should contain any other sensitive information, please get to a known clean computer and change all passwords where applicable, and it would be wise to contact those same financial institutions to apprise them of your situation.
Though the Trojan has been identified and can be killed, because of it's backdoor functionality, your PC is very likely compromised and there is no way to be sure your computer can ever again be trusted. Many experts in the security community believe that once infected with this type of Trojan, the best course of action would be a reformat and reinstall of the OS.

Nempontosan ertem, hogy mirol van szo, attol, hogy ez a bug tobb olyan dns szerver megoldast is erint ami authorativ nevkiszolgalast is vegez attol meg a dns rekurziv feloldasaval van a gond. Ha a felelem ez, akkor mi akadalyoz meg egy hibamentes helyi peldany telepiteseben? (Bra irt teljesitmeny szempontbol valaszt, de sztem te nem emiatt hasznalsz odnst)

Kiemelve azt, hogy -ha csekély is, de- bármilyen DNS megoldással fennáll a lehetősége a hamisításnak egy közös cache-nél.
Azaz a korrekt megoldás (a veszély minimalizálásának irányába) tényleg az, hogy saját magad futtatsz névszervert, és azt kérdezed.
Ennél csak rosszabb lehet az, ha mások által használt cache-t állítasz be, ott mindig nagyobb lesz az esélye az ilyen jellegű támadásoknak.

( Hunger | 2008. 07. 24., cs – 22:05 )

A módszer kitalálása igazából Halvar Flake nevéhez fűződik. Ő a civil szférában fellelhető, egyik legnagyobb bináris auditálással foglalkozó szakértő (volt már róla hír, amikor nem engedték be USA-ba a tavalyi BlackHat-re, mondvacsinált okok miatt, pedig nem sokkal előtte az amerikai hivatal embereinek is tartott előadást ilyen témában...). Ez a DNS sebezhetőség igazából csak a nagy titkolózás és hype miatt kezdte foglalkoztatni, és a blogjában írt egy spekulációt arról, hogy ő hogyan képzelné el a problémát, függetlenül attól, hogy nem ért mélyebb szinten a DNS-hez. Az ötlete azonban eléggé beletrafált, mert csak egy apró hiba volt a levezetésében. A Matasano véletlenül(?) kikerült posztja csupán megerősítette azt, hogy valóban a felvázolt problémáról van szó...

( sj | 2008. 07. 24., cs – 22:08 )

Barki futtathat dnscache-t a localhost-on. Ha segitseg kell a telepitesben, a linuxvilag archivumban van egy cikk rola.

ASK Me No Questions, I'll Tell You No Lies

Apró gubanc, hogy

1) a root NS-eket tartalmazó file-t frissíteni kell, mert a DJB honlapjáról letölthető már nem pontos
2) nem tud IPv6-ot alapból
3) nagyon ritkán szeret nyom nélkül bekussolni. Aztán az ember csak csodálkozik, hogy hirtelen nem megy a névfeloldás, ami miatt csomó más szolgáltatás is "rejtélyes" módon blokkolódni látszik.

--
Ruby takes the elegance and simplicity of Perl, and mixes it with the library support of Lisp.