DNS támadás áldozatává vált a DNS exploit írója

Titkosítás, biztonság, privát szféra

A széles körben kitárgyalt Kan Kaminsky-féle DNS cache poisoning sebezhetőséghez írt nemrég HD Moore egy másik biztonsági szakértő segítségével exploitot. Az exploit bekerült a Moore által igazgatott Metasploit framework névre hallgató támadás- és behatolástesztelő "szerszámkészletbe". Úgy tűnik, hogy a biztonsági szakértő sem volt elég elővigyázatos, mert cégének dolgozói kedden jelezték, hogy valami nincs rendben. A dolgozók azzal a szándékkal, hogy meglátogatják a Google-t, fake oldalra jutottak. Moore szerint ez azért volt lehetséges, mert a támadók sikeresen piszkáltak meg egy, az AT&T hálózatán levő DNS szervert. A teljes cikk itt olvasható.

( gna | 2008. 07. 31., cs – 08:51 )

A pontosítás:
http://www.thetechherald.com/article.php/200831/1607/AT&T-first-reporte…

Lényegében ők egy AT&T szervert használtak DNS feloldásra, azt pedig megpiszkálták, hogy a google.com -ra egy idegen oldal jöjjön elő.

Tehát a nagyobb hír az, hogy megvan az első internetszolgáltató aki áldozatul esett a DNS poisoning támadásnak, és ezáltal az előfizetőinek nagy részét tette ki támadások sorának. Tehát, T-online, Chello, és a többiek, nálatok mi a helyzet??? Amúgy aki nem bízik a szolgáltatójában használjon OpenDNS-t

"Lényegében ők egy AT&T szervert használtak DNS feloldásra, azt pedig megpiszkálták, hogy a google.com -ra egy idegen oldal jöjjön elő"

Ezt olvashatod fentebb a cikkben is és a linkelt cikkben is.

"AT&T first reported victim of DNS attack – HD Moore was NOT “Pwned”"

Jah, nem is azt mondta, hogy "Pwned", hanem azt, hogy "owned". :))))

"It's funny," he joked, "I got owned."

Számomra mindenesetre vicces. Elkerülhető lett volna. Biztonsági szakértő létére kellemetlen az ilyen.

--
trey @ gépház

Igazad van, de közvetlenül nem biztos hogy ő felelős. Nem tudom hogy az AT&T és ő milyen kapcsolatban vannak, így lehet hogy ha akarta volna se fixálhatta volna a bugot, mert a szolgáltatónál meg nem jött el a frissítő szerda vagy csak nem foglalkoztak vele, vagy szabin van a DNS szerver karbantartója :)

Ha neki lennék egy DNS szervert állítanák fel abban a hálóban és az tuti jó.

"Nem tudom hogy az AT&T és ő milyen kapcsolatban vannak, így lehet hogy ha akarta volna se fixálhatta volna a bugot, "

Nem a bugot kellett volna _neki_ fixálnia, hanem megbízható DNS szolgáltatásra kellett volna váltania a saját cégénél, akár csak ideiglenesen is. Egy DNS átírása egy n00b rendszergazdának sem kellene, hogy problémát okozzon. Az információk jóval ezelőtt az eset előtt elérhetők voltak az átlagembernek is.

--
trey @ gépház

+1 Nagyon jó az OpenDNS, gyors meg minden, eddig csak 1x volt valami DNS feloldási probléma úgy fél órára (még jó hogy a fontos IP-k fel vannak írva :)), ráadásul ha elgépelsz valamit javítja, ha nem ismeri az oldalt amit beírtál akkor rákeres. Hasznos jószág, mindenkinek csak ajánlani tudom.

Engem csak az idegesit, hogy ha paranccsorban akarok valamit elerni (ssh, ftp, stb.), akkor ha elgepelek valamit, atiranyit sajat magara, en meg nezek mint a hulye, hogy mi a franc van, miert nem megy az ssh, vagy valami hasonlo. Mar tobbszor idegesitett ezzel fel.
Mas szolgaltatonal egyszeruen nem talalj a cimet, es tudom hogy valamit elrontottam.

http://www.origo.hu/techbazis/internet/20080725-magyar-elofizetoket-is-…
"A T-Online-tól kapott tájékoztatás szerint a vállalat olyan beállításokkal használja DNS-szoftverét, amely önmagában alkalmas arra, hogy a névszerverek többségét érintõ jelenlegi fenyegetettséget megelõzze."

Ugyanitt van szó a UPC-ről (javítottak) és a Datanetről (ők is). Máshol említik a T-Mobile-t, mint olyat, ami nem megy át a teszten.

Én sem értem, de már olyan sokan nyomják, hogy kezdenek összeesküvés-elméletek összeállni a fejemben.
Azért káros ez ISP oldalról, mert nincs a kezében. Ha a "buta" userek tömegesen átállnak erre, majd fejreáll ott valami, telítődnek a szervereik, vagy beszűkül valami nemzetközi cső, a userek nem az OpenDNS-nél fognak reklamálni, hanem az ISP-nél...

Az opendns elosztott, szóval egyelőre nem áll fenn a veszélye a telítődésnek. Legalábbis ők ezt állítják. Én pl. csak azért álltam át, mert megnéztem, hogy a szolgáltatóm mennyire törődik az ilyesmivel, és nem igazán. Eközben az OpenDNS-nél van jó random port meg random QID. Akkor meg miért ne?

Wow, ez király, ezzel még látványosabban lehet demózni a szar szervereket, köszi (bár nekem elsőre timeout volt, reloaddal sikerült)! :)

Attól, hogy valami elosztott, még túlterhelődhet. Sőt, általában mindegyik szolgáltatónak van legalább két rekurzív NS-e, azaz azok is elosztottak.

( nagy_peter v | 2008. 07. 31., cs – 09:43 )

Ezzel inkább az a támadás a durva, hogy mondjuk az update.microsoft.com-ot megtámadva egy olyan fake szerverhez irányítják a Vista Windows update szolgáltatását, ahol mondjuk trójait helyeznek el, amit ugyebár a Vista kapásból rendszergazdai jogokkal, teljes hozzáféréssel telepít a háttérben. De ugyanez a veszély fent áll a többi online updater-t használó rendszernél is, ha csak nem közvetlen IP címet hív meg.

Ti tényleg leragadtatok a Windows 98-nál? Digitálisan aláírják a csomagokat és a rosszakat egyszerűen nem teszi fel (ahogy hrgy is leírta). Az apt-get és kis barátai macskajánosok a Windows updta-hez képest. Gondoljatok bele, hány milliárdos cég élete függ ettől, a Microsoft nem unta meg az életét.
---
;-(

a winupdate forrás ip-jét oda állitod ahova akarod, nem kell ehhez dns sebezhetőség. (igy működik pl a wsus is, felülbirálod, hogy a helyi szerverről szedje a frissitéseket és ne a központi winupdate szerverről)
Eddig még senkinek nem sikerült rávegyen egy klienst, hogy winupdate-ről (vagy az átirányitott helyről) felrakjon egy nem ms aláirt megbütykölt patch filet.

Pont hogy nem, hanem eldobja a file-t. A update letolteset es telepiteset egy felautomata (vagy tan egeszen az, beallitasfuggo) rendszer vegzi, amin nincs ott a ms digitalis pecsetje, azt eldobja.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( Pontscho | 2008. 07. 31., cs – 12:54 )

Ez majdnem olyan vicces, mint amikor Mitnick biztonsagi cegenek a szervereit nyomtak fel.

---
pontscho / fresh!mindworkz

( Nyosigomboc v | 2008. 07. 31., cs – 15:19 )

Hat ezt is megertuk. Ezek szerint az AT&T OS X servereket hasznal DNS-re. :)

----
Big Brother is watching you, Little Brother is too. When Big Brother goes to sleep, Little Brother goes through his stuff.
honlap készítés