Monitorozná és blokkolná az OpenDNS a Conficker worm-ot

Titkosítás, biztonság, privát szféra

A The Register egyik cikke szerint az OpenDNS (korábbi cikkünk) névre hallgató, publikusan használható DNS szolgáltató olyan új szolgáltatást vezetne be, amely monitorozná és blokkolná a Conficker (ismert még Downup, Downadup, Kido) néven ismert számítógépes worm tevékenységét.

A Conficker az a worm, amely a tavaly októberben felbukkant, az MS08-067 biztonsági figyelmeztetőben ismertetett súlyos Windows sebezhetőséget használja ki.

Noha a worm által kihasznált sebezhetőséget a Microsoft a probléma bejelentésekor azonnal javította, a számítógépes biztonsággal foglalkozó cégek arról számolnak be, hogy a fertőzött gépek száma elérheti a 10+ milliós nagyságrendet.

Az OpenDNS üzemeltetői a tervek szerint hétfőtől egy új szolgáltatást vezetnek be, amely figyelmezteti az OpenDNS-t használó hálózatok adminisztrátorait az OpenDNS Dashboard-jukon, ha a hálózatukon Conficker-rel fertőzött host található, továbbá automatikusan megakadályozza, hogy a fertőzött gépek hozzákapcsolódhassanak a malware szerzők által irányított "rogue" szerverekhez.

A részletek itt olvashatók.

( uid_228 | 2009. 02. 09., h – 00:31 )

Az OpenDNS egy fos.

adi@kapor:~$ ns nincsilyen.com
nincsilyen.com does not exist, try again
adi@kapor:~$ ns -X 208.67.222.222 nincsilyen.com
nincsilyen.com does not exist at resolver1.opendns.com, try again
adi@kapor:~$ host -X 208.67.222.222 nincsilyen.com
nincsilyen.com A 67.215.65.132
!!! nincsilyen.com A record has zero ttl
adi@kapor:~$

QED.

Innét kezdve mindenki jól gondolja meg, hogy használja-e.

--
"- The question is: what is a mahna-mahna?
- The question is: who cares?"

Az, hogy ha valami olyan domaint próbálsz feloldani, ami nem létezik, második próbálkozásra bedobja az OpenDNS oldalát egy keresővel, hogy nem írtad-e el.

Gyakorlatban annyi a lényeg, hogy ha valami olyan domaint próbálsz megnyitni, ami nem létezik, OpenDNS használata esetén nem az ilyenkor szokásos "address not found" üzenetet fogod kapni a böngészőtől, hanem egy keresőt.

----------------
Lvl86 Troll

Ez a szolgáltatás (ti. keresőt dob fel ha nincs meg a cím) mellesleg sokaknak tetszik és megelégedéssel használják. Ez csak neked és egy kevés másik embernek jelent problémát, de hál'Istennek nem kötelező használnotok.

--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.

Kérlek mutasd meg, hogy melyik kommentemben fejeztem ki azt, hogy nem tetszik. Csak válaszoltam egy kérdésre, hogy mit csinál az OpenDNS. Egy szót nem szoltam arról, hogy tetszik-e vagy sem.

Egyébként, ha érdekel, otthon szüleimnek is ez van beállítva, ha ellene lennék a dolognak, nyílván nem állítottam volna be.

----------------
Lvl86 Troll

Évek óta 0 problémával használom több helyen. Például hasznosnak találom, hogy ilyen egyszerűen tudom kiszűrni a hálózaton nem kívánt tartalmakat _ingyen_*. Marha jól tud jönni olyan helyeken, ahol nincs pénz tartalomszűrőre, se rendszergazdára.

Nem beszélve arról, hogy a Dan Kaminsky-féle DNS problémánál is biztonsági szakemberek ajánlották az OpenDNS-t. Valószínűnek tartom, hogy az OpenDNS biztonságosabb néhány itthon elérhető sufni ISP DNS szolgáltatásánál.

(* némi reklámért cserébe, ami elgépelt oldalak esetén előjön)

--
trey @ gépház

Arrol nem beszelve, hogy az elgepelest fel is hasznalja a reklamban, igy meg hasznos is lehet.
Kulonben meg, nem olyan surun gepel el az ember oldalakat, hogy terhes lenne. Altalaban a cimsav emlekezik a legtobbet hasznalt cimekre, ugyhogy eleg keves ilyen gond van. Egy domain letezoseget meg amugyse ugy csekkolja az ember hogy kozvetlen lekerdezi a dns szervert, hanem be lehet utni whois-ba.

Kulonben a keresooldal meg csak A rekordra ad talalatot asszem, MX rekordot nem iranyit magaea.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

arrol ne is beszeljunk h a teljes ceges internethasznalat kerul igy megosztasra az opendns uzemeltetoivel illetve azokkal az uriemberekkel akik mogotte allnak -o jaj lehet h valamelyik kormanyzati ceg lehet?- nomeg a feketekalapos urak helyeben is elso szamu target lenne eme remek szolgaltatas

--
_

Már miért kéne megosztani az isp-vel. Nem muszáj az isp forwarderjén átküldeni a cég teljes dns forgalmát, feltalálták már a root hinteket... Ja tudom, majd biztos megsniffelik a forgalmat a rootok felé :))
(ettől függetlenül az emberek 90%-ának szerintem tökéletes az opendns)

Azért "picit" más kategória és energiabefektetés (az esetleges jogi akadályokról nem is beszélve) sniffelni a forgalmat és megint más lekérdezni egy alapesetben is iródó logfile-t. De szükség esetén mehet a dns forgalom titkositottan is az isp-n kivül lévő dns szerverig is, ha ez ekkora probléma, a lehetőség adott, csak sokan nem is hallottak még róla, hogy nem muszáj forwarderrel az isp-nek átadni a dns forgalmadat...

Ez olyannyira hatalmas energiabefektetes, hogy kell venni kb. 150K HUF-bol egy P4-est, meg egy marek diszket, es ratolni a netflow logokat; jogi akadalya meg nem sok van, sot, az ISP-ket ezeknek az adatoknak 3 evig torteno megorzesere torveny kotelezi (2003. evi C. torveny, 157. §).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

LOL elképzelem ahogy a kis p4-es sniffeli a t-online 100.000 ügyfelének teljes forgalmát, hogy kiszűrje az idegen dns-ek felé menő udp 53-as forgalmat :)))

"az ISP-ket ezeknek az adatoknak 3 evig torteno megorzesere torveny kotelezi "

Hogy mivan? Az ISP-k szerinted megőrzik 3 évre az összes user összes FORGALMÁT???? Logokat őriznek meg, mikor lépett be-ki, ha van transparent proxy, akkor esetleg az url-eket, dns queryket (igen, a forwarderen, nem a teljes 53-as port forgalmát) stb. Biztos lehetsz benne, hogy nem tudják előszedni, hogy tavaly milyen root hinteket töltöttél le.

"LOL elképzelem ahogy a kis p4-es sniffeli a t-online 100.000 ügyfelének teljes forgalmát"

Ugy latom, a netflow szo neked nem mond semmit. Kerdezd meg google-t, o turelmesebb, mint en.

"Az ISP-k szerinted megőrzik 3 évre az összes user összes FORGALMÁT????"

Igen. Az osszeset. Nyilvan. Ezt a hulyeseget megis honnan szeded?

"ha van transparent proxy"

Igen, mi mas lenne "a t-online 100.000 ügyfel"e elott, amikor egy DAG kartya szerinted mar elkepzelhetetlen befektetes. De tudod mit? Hagyjuk.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

"Ugy latom, a netflow szo neked nem mond semmit"

nekem elég sokat mond, neked szemmel láthatólag fogalmad sincs, hogy az csak kivonat, összesitő, rohadtul nincsen benne, hogy pl egy idegen dns szerver felé milyen query lett feladva, legfeljebb a tény, hogy volt x db dns lekérdezésed y ip felé, ha ezt külön beállitják. Ehhez sniff kell, ami gyakorlatilag lehetetetlen ekkora méretekben. Egy-egy pl. rendőrség által kérelmezett user folyamatos sniffelése természetesen simán megoldható, de hogy az összes user forgalmát szűrjék pl idegen dns query-kre az nonsense. Az már csak hab a tortán, hogy az általad idézett törvény sem ir egyetlen büdös szót sem ilyesmiről. Be és kijelentkezés időpontja, felhasználónév, kapott ip cim, kb ennyi amit meg kell őrizzenek semmi más.

"Hagyjuk"

Egyetértek, ha attól jobb lesz neked, akkor hidd csak el, hogy 3 évre visszamenőleg tárolva van az opendns vagy root hint forgalmad az isp-dnél, sőt akkor már a torrent forgalmad is, miért is ne :)))

( uid_228 | 2009. 02. 09., h – 15:28 )

Érdekes, amikor a Verisign csinálta kvázi ugyanezt, akkor mindenki köpködte őket. Hogy is van ez? :)

--
"- The question is: what is a mahna-mahna?
- The question is: who cares?"