Luca Annunziata

DNS poisoning, dettagli e attacchi

In poche ore arrivano le prime indiscrezioni ufficiali sulla vulnerabilità e i primi log che mostrano i cattivoni al lavoro. Kaminsky rilancia: patchate tutti, esorta, patchate prima che sia troppo tardi

Roma - Circolano i primi exploit e circolano pure i log dei primi attacchi. La faccenda del bug dei DNS, gli elenchi telefonici di Internet, si sta ingrandendo di ora in ora. E con il rilascio delle prime indiscrezioni da parte dello scopritore della vulnerabilità, Dan Kaminsky, durante un webcast di avvicinamento al prossimo Black Hat 2008, la faccenda non potrà fare altro che peggiorare. Per questo, è lo stesso esperto di sicurezza a rilanciare l'appello: bisogna applicare le patch messe a disposizione dai produttori di software, e bisogna farlo il prima possibile.

Risalirebbe allo scorso giovedì notte il primo tentativo documentato di sfruttare la falla resa nota il 9 luglio, di cui tuttavia al momento non si conoscono i dettagli. Nelle stesse ore, venivano messi in circolazione i primi esempi di exploit proof-of-concept che tentano di mettere in pratica le teorie dedotte dalle scarne informazioni fornite da Kaminsky. Quest'ultimo ha poi rilanciato, fornendo ulteriori rivelazioni e facendo un po' di luce su tutta la vicenda.

Sul suo blog, scrive: "Prima che questo attacco venisse scoperto, un cattivone aveva una possibilità su 65mila di dirottare la vostra connessione ad Internet, ma poteva fare un solo tentativo ogni paio d'ore. Dopo la scoperta dell'attacco, il cattivone aveva sempre una su 65mila possibilità, ma poteva provare migliaia di volte al secondo. Dopo la patch, il cattivone ha una possibilità su un paio di centinaia di milioni o di miliardi di dirottare la vostra connessione ad Internet". Il che non significa, precisa, che sia impossibile: "Potrà sempre provarci migliaia di volte al secondo, ma facendo molto più baccano di prima".
Più nel dettaglio, la vicenda pare coinvolga un dominio e tutti i suoi sottodomini. Kaminsky, al contrario di quanto scovato da altri ricercatori in precedenza, sostiene di aver individuato un meccanismo attraverso il quale un malintenzionato potrebbe sottoporre un server DNS ad un fuoco di fila di richieste per una intera classe di indirizzi, fino a trovare un punto debole attraverso il quale incunearsi: a quel punto, potrebbe istruire il server per restituire un indirizzo errato, prolungando inoltre a dismisura l'intervallo entro il quale aggiornare le tabelle di riferimento, così da massimizzare gli effetti del proprio attacco.

Mancano ancora i dettagli precisi, ma ormai il quadro sembra completo. Non è più necessario attendere la richiesta di un utente per tentare di intercettarne le comunicazioni, e con la forza bruta di migliaia di richieste - provenienti magari da più postazioni o persino una botnet - diverrebbe possibile scardinare un DNS senza che nessuno si accorga di niente o quasi.

La situazione, a livello globale, non è peraltro migliorata di molto dal momento dell'annuncio. Sebbene, precisa Kaminsky, inizialmente il numero di server vulnerabili verificati dall'applicazione presente sul suo blog superasse l'85 per cento, valore sceso a 52 nelle ultime ore, la maggior parte dei sistemi in circolazione resta vulnerabile a questo tipo di attacco. Kaminsky plaude agli sforzi compiuti dalle grandi aziende di telecomunicazione e dagli ISP per fare fronte alla situazione, ma chiede loro un impegno ulteriore per tentare di affrettare i tempi.

Kaminsky ha poi rivelato di aver scovato questa vulnerabilità mentre cercava un nuovo metodo di distribuzione dei contenuti sfruttando i DNS. La sua patch, ribadisce, non mette definitivamente al sicuro dalla eventualità che il DNS in uso venga infettato e il traffico di passaggio dirottato: il problema è intrinsecamente legato alla natura progettuale dell'attuale sistema, e dunque "abbiamo imparato cosa fare per sistemare la Rete in futuro". Kaminsky spera che dalla sua scoperta scaturisca un dibattito, che ponga al centro i passi necessari per lo studio di sistemi più affidabili degli attuali da implementare nella Internet del futuro.

Luca Annunziata
45 Commenti alla Notizia DNS poisoning, dettagli e attacchi
Ordina
  • ehmm nel 2004 scrissi una cosettina...

    www.infosecwriters.com/text_resources/pdf/
    predictability_of_Windows_DNS_resolver.pdf

    c'azzecca qualche cosa o si tratta di cosa sostanzialmente diversa?

    Con cordialità
    non+autenticato
  • - Scritto da: Roberto
    > ehmm nel 2004 scrissi una cosettina...
    >
    > www.infosecwriters.com/text_resources/pdf/
    > predictability_of_Windows_DNS_resolver.pdf
    >
    > c'azzecca qualche cosa o si tratta di cosa
    > sostanzialmente
    > diversa?
    >
    > Con cordialità

    Ah, sei tu l'autore?
    Quindi tutti leggono PI Sorride
    non+autenticato
  • Ho un DNS secondario basato su una stravecchia Debian, la quale non offre patches di sicurezza.
    Qualcuno ha un'idea Angioletto ?
    11237
  • Non ho un'idea.. ma se ti consola, ci facciamo compagnia A bocca aperta
    Spero in una risposta dei luminari che ci sono qui!
    non+autenticato
  • Devi scaricare i sorgenti di Bind e compilarli

    Qui c'è un'ottima guida per installare Bind 9 in modalità chroot.

    http://www.pluto.it/files/ildp/HOWTO/Chroot-BIND-H...
    non+autenticato
  • Temo ti tocchi ricompilare BIND dai sorgenti aggiornati (magari presi da 'sarge').
    non+autenticato
  • Ehm....

    ...non sono certo un luminare a cui si rivolgeva l'amico sopra A bocca aperta

    ... ma in assenza di patch da parte dei mantainer della distro, l'unica soluzione mi sa che è scaricare i sorgenti e ricompilarsi BIND. Magari, per evitare problemi ed errori di compilazione, utilizzare i sources della stessa versione presente in debian, patchare e ricompilare.

    Si lo so, non ci voleva una "cima" per arrivare questa conclusione, ma non vedo altre alternative Occhiolino

    Comunque, per quanto riguarda il problema della "randomizzazione" delle porte ( e solo questo), una soluzione potrebbe fornirla lo stesso iptables:

    http://www.cipherdyne.org/blog/2008/07/mitigating-...

    P.s.

    Io su una Gentoo box in questi giorni sto testando Unbound. Non so se sia allo stesso livello di BIND o di altri DNS e se abbia delle limitazioni quanto a funzionalità, ma lo trovo molto reattivo e facile da configurare. Pare che per ora non sia affetto dai problemi individuati da Kaminsky:

    http://nlnetlabs.nl/publications/DNS_cache_poisoni...
    non+autenticato
  • - Scritto da: Tuxer

    > ... ma in assenza di patch da parte dei mantainer
    > della distro, l'unica soluzione mi sa che è
    > scaricare i sorgenti e ricompilarsi BIND. Magari,
    > per evitare problemi ed errori di compilazione,
    > utilizzare i sources della stessa versione
    > presente in debian, patchare e
    > ricompilare.

    Credo che sia l'unica possibilita'.
    Purtroppo il server in questione e' un virtual server in Germania, non oso upgradare a Etch e magari mandare tutto all'ariaCon la lingua fuori

    > Io su una Gentoo box in questi giorni sto
    > testando Unbound. Non so se sia allo stesso
    > livello di BIND o di altri DNS e se abbia delle
    > limitazioni quanto a funzionalità, ma lo trovo
    > molto reattivo e facile da configurare. Pare che
    > per ora non sia affetto dai problemi individuati
    > da
    > Kaminsky:

    Se ci fosse un pacchetto per DebianOcchiolino ... A me serve semplicemente un server secondario che possa sincronizzarsi con il primario (BIND), sai se Unbound lo permette ?
    11237
  • No, no, anche io fossi al posto tuo non farei l'aggiornamento dell'intera distro; solo per avere Bind aggiornato....non ne vale la pena.

    Quanto a Unbound, io l'ho compilato da sorgenti (e ci vogliono un paio di minuti anche su un Pentium-MMX), non avendo trovato un pacchetto per Gentoo....ma forse ho cercato male io. In Deb non dovresti avere ugualmente problemi se hai installato le dipendenze per "buildare" BIND.

    Per quanto riguarda la tua domanda, ehm ... non sono granché esperto di queste cose Sorride ... ma comunque: cosa intendi per sincronizzarsi con bind? Vuoi fare un forward sul dns primario?
    non+autenticato
  • - Scritto da: Giambo
    >
    > Se ci fosse un pacchetto per DebianOcchiolino

    Personalmente non saprei, ma una spulciatina su backports.org potrebbe darti una... Authoritative Answer in meritoOcchiolino

    HTH,

    KaysiX
    non+autenticato
  • - Scritto da: Giambo
    > Ho un DNS secondario basato su una stravecchia
    > Debian, la quale non offre patches di
    > sicurezza.
    > Qualcuno ha un'idea Angioletto ?

    Si,

    apt-get install djbdns-installer

    attendi e poi :

    build-djbdns

    Trovi un'ottimo tutorial su come configurarlo su morettoni.net

    Se ti serve come cache invece ci impieghi giusto 10 minuti per metterlo su Sorride))
    non+autenticato
  • Ciao a tutti, nell'attesa che Alice metta mano al problema volevo mettere gli opendns sul router Pirelli in mio possesso... sorpresa sorpresa in questo router non mi dà la possibilità di cambiare i dns... ora cercherò qualcosa su google a proposito, ma volevo sapere se qualcuno di vuoi conosce la soluzione (a parte cambire router)

    Grazie e Ciao a tutti!
    non+autenticato
  • - Scritto da: Elemento
    > Ciao a tutti, nell'attesa che Alice metta mano al
    > problema volevo mettere gli opendns sul router
    > Pirelli in mio possesso... sorpresa sorpresa in
    > questo router non mi dà la possibilità di
    > cambiare i dns... ora cercherò qualcosa su google
    > a proposito, ma volevo sapere se qualcuno di vuoi
    > conosce la soluzione (a parte cambire
    > router)
    >
    > Grazie e Ciao a tutti!

    cambiare i dns sui tutti i pc dietro a quel rutter, pardon, router... (ma mi vergogno a chiamarlo così!)
  • Interessante notare come gli exploit pubblicati siano esclusivamente per i sistemi linux/unix (BIND). A tutt'oggi non c'è alcun exploit per Windows
    Chi è che diceva che linux era sicuro?
    non+autenticato
  • forse perchè BIND è il sistema più diffuso?
  • - Scritto da: pentolino
    > forse perchè BIND è il sistema più diffuso?

    Trollate a parte, è la stessa cosa che si dice di Win ad ogni attacco, se vale per uno deve valere anche per l'altro.
    non+autenticato
  • - Scritto da: Mino
    > - Scritto da: pentolino
    > > forse perchè BIND è il sistema più diffuso?
    >
    > Trollate a parte, è la stessa cosa che si dice di
    > Win ad ogni attacco, se vale per uno deve valere
    > anche per
    > l'altro.

    errore....il bug colpisce l'architettura DNS, indipendentemente dal DNS server usato....

    chi l'ha detto che sono stati colpiti solo i sistemi linux? certo è che BIND rappresenta il 90% dei server DNS, quindi per forza di cose si parla di BIND in relazione a quest'attacco

    ma ripeto, non stiamo parlando di violazione dei server, di heap overflow, buffer overflow o che altro, stiamo parlando di inviare pacchetti molti velocemente per cui il server DNS si convince che sono ufficiali

    e questo problema, lo ripeto, riguarda tutti i server DNS, nessuno escluso
    non+autenticato
  • quoto, non è una guerra di religione questa... ma quando uno vuole vedere trollate ovunque c'è poco da fare
  • - Scritto da: pabloski
    > - Scritto da: Mino
    > > - Scritto da: pentolino
    > > > forse perchè BIND è il sistema più diffuso?
    > >
    > > Trollate a parte, è la stessa cosa che si dice
    > di
    > > Win ad ogni attacco, se vale per uno deve valere
    > > anche per
    > > l'altro.
    >
    > errore....il bug colpisce l'architettura DNS,
    > indipendentemente dal DNS server
    > usato....
    >
    > chi l'ha detto che sono stati colpiti solo i
    > sistemi linux? certo è che BIND rappresenta il
    > 90% dei server DNS, quindi per forza di cose si
    > parla di BIND in relazione a
    > quest'attacco
    >
    > ma ripeto, non stiamo parlando di violazione dei
    > server, di heap overflow, buffer overflow o che
    > altro, stiamo parlando di inviare pacchetti molti
    > velocemente per cui il server DNS si convince che
    > sono
    > ufficiali
    >
    > e questo problema, lo ripeto, riguarda tutti i
    > server DNS, nessuno
    > escluso


    Esatto!
    E poi chi ha detto che Bind gira solo su Linux???
  • - Scritto da: mojave
    > Interessante notare come gli exploit pubblicati
    > siano esclusivamente per i sistemi linux/unix
    > (BIND). A tutt'oggi non c'è alcun exploit per
    > Windows
    > Chi è che diceva che linux era sicuro?

    errore....il bug colpisce l'architettura DNS, indipendentemente dal DNS server usato....

    chi l'ha detto che sono stati colpiti solo i sistemi linux? certo è che BIND rappresenta il 90% dei server DNS, quindi per forza di cose si parla di BIND in relazione a quest'attacco

    ma ripeto, non stiamo parlando di violazione dei server, di heap overflow, buffer overflow o che altro, stiamo parlando di inviare pacchetti molti velocemente per cui il server DNS si convince che sono ufficiali

    e questo problema, lo ripeto, riguarda tutti i server DNS, nessuno escluso
    non+autenticato
  • Ma chi lo usa il dns di windows? Non lo usa neppure MS. Ci ha provato ed ha subito dato il sistema in gestione su sistemi Linux o BSD non ricordo.
    Quindi che interesse c'e'?
    non+autenticato
  • > Interessante notare come gli exploit pubblicati
    > siano esclusivamente per i sistemi linux/unix
    > (BIND).

    Falso, colpiscono tutte le implementazioni del DNS (IBM, Cisco, ISC, Microsoft e altri 90 vendor), si tratta di un problema di progettazione.
    non+autenticato
  • - Scritto da: Anonimo Codardo
    > > Interessante notare come gli exploit pubblicati
    > > siano esclusivamente per i sistemi linux/unix
    > > (BIND).
    >
    > Falso, colpiscono tutte le implementazioni del
    > DNS (IBM, Cisco, ISC, Microsoft e altri 90
    > vendor), si tratta di un problema di
    > progettazione.

    Non tutti: djbdns, NO.

    Quyando il paranoico (djb) lo disse, tutti gli diedero addosso. Ebbene, oggi ha avuto la sua rivincita.
    non+autenticato
  • - Scritto da: mojave
    > Interessante notare come gli exploit pubblicati
    > siano esclusivamente per i sistemi linux/unix
    > (BIND). A tutt'oggi non c'è alcun exploit per
    > Windows
    > Chi è che diceva che linux era sicuro?

    Se sparissero dalla rete tutti i commenti
    che esprimono un giudizio sulla "sicurezza" di un
    sistema operativo a partire da un bug di un applicativo
    che ci gira sopra sarebbe una pulizia epocale
    da quest'ammasso di spazzatura eruttato da orde
    d'ingnorantelli e troll vari.
    non+autenticato
  • Io usavo già opendns. Meno faccio sapere i ca..i miei in italia e meglio è. Con la situazione giudiziario-mediatica che abbiamo in italia non mi stupirei se pubblicassero sui giornali tutte le navigazioni di tutti gli italiani. Operazione trasparenza direbbe visco (brutto $/£&$/£&$/£/!!!).

    Mia moglie invece usava ancora i dns dell'isp, wind/infostrada appunto. Risultano sicuri, ma già che c'ero ho impostato anche la sua connessione verso i dns di opendns.
    non+autenticato
  • - Scritto da: Sfigatto

    >
    > Mia moglie invece usava ancora i dns dell'isp,
    > wind/infostrada appunto. Risultano sicuri, ma già
    > che c'ero ho impostato anche la sua connessione
    > verso i dns di
    > opendns.

    Secondo me ti conviene patchare il dns di tua moglie, in modo che tu possa controllare quello che fa Sorride)
    Nota lo smile.

    Ciao.
    non+autenticato
  • [OT] ma con opendns capita anche a voi che alcuni siti risultino irraggiungibili? solitamente a notte inoltrata e weekend?[/OT]
    non+autenticato
  • A me no, non capita.
    non+autenticato
  • Certo che mi capita, ma mi capitava anche prima, il problema non è a livello di dns ma di server/isp, infatti se fai la risoluzione di dominio tramite nslookup e poi fai un bel ping sull'indirizzo ip restituito vedrai che non rispondeSorride



    - Scritto da: io78
    > [OT] ma con opendns capita anche a voi che alcuni
    > siti risultino irraggiungibili? solitamente a
    > notte inoltrata e
    > weekend?[/OT]
    non+autenticato
  • - Scritto da: Uno di passaggio
    > Certo che mi capita, ma mi capitava anche prima,
    > il problema non è a livello di dns ma di
    > server/isp, infatti se fai la risoluzione di
    > dominio tramite nslookup e poi fai un bel ping
    > sull'indirizzo ip restituito vedrai che non
    > risponde

    peccato che se il traffico icmp viene bloccato dai firewall anche tutti i server up & running non ti risponderanno mai al ping....
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)