Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Blackhat előzetes - DNS mérgezés

2008.07.22. 18:53 | buherator | 4 komment

Majd' két hete röppent fel a hír, hogy Dan Kaminsky cache poisoningra lehetőséget fedezett fel a DNS protokollban. Kaminsky szerint "A probléma rendkívül komoly, az összes DNS szervert javítani kellene, amilyen gyorsan csak lehetséges. [...] a probléma magával a DNS protokollal van, nem meghatározott implementációval.", ezért a kutató arra kérte kollegáit, hogy tartózkodjanak a spekulációktól, amíg a nyilvánosság előtt fel nem fedi a  problémát az idei Blackhaten, hogy így nyerjen időt a gyártóknak a hiba kijavítására, és a patchek kiadására. A bejelntést követő pánikszerű hangulatot jól jelzi, hogy igen közel a nevezési időszak végéhez, ilyen kevés rendelkezésre álló információ birtokában is jelölték a bugot a "Leginkább túlhypeolt hibának" járó Pwnie-díjra.

Halvar Flake azonban vizsgái szabadidejében nekiállt utánaolvasni a témának, és bár eleinte magával a DNS rendszer működésével sem volt teljesen tisztában, végül sikerült rájönnie a titokra. Látva, hogy a hibát egy hozzá hasonló, kvázi laikus illető is megtalálhatja, ényegében a full-disclosure filozófiáját követve végül közölte sejtését, melyről a netes közösség hamar megállapította, majd Kaminsky is elismerte, hogy valóban beharangozott hibáról van szó.

Íme tehát Flake írásának lényegi része magyarul (most már úgyis mindegy alapon):

Mallory meg akarja mérgezni az ns.polya.com-ra érkező, www.gmx.net-re kérdező DNS kéréseket. A gmx.net névszervere az ns.gmx.net, Mallory IP-je 224.224.224.224.

Mallory elkezd a www.ulam00001.com, www.ulam00002.com.... hosztokra vonatkozó  hamis kéréseket küldeni az ns.polya.com-ra. Az ns.polya.com nem gyorsítótárazta még ezeket a címeket, tehát megkérdez egy gyökér szervert, hogy merre található a .com névszerver. Ez után meg is kapja a .com NS címét, akitől megkérdezi, hogy hopl találja az ulam00001.com, ulam00002.com, stb. névszerverét. 

Mallory ez után hamisított, a .com névszervertől érkezőnek látszó válaszokat küld az ns.polya.com-nak, melyekben azt állítja, hogy az ulamYYYYY.com címekért felelős névszerver az ns.gmx.net, melynek címe 224.224.224.224.

A rengeteg www.ulamYYYYY.com domain kérésre azért van szükség, mert ugyan a DNS kérések egyedi azonosítóval védettek az ilyen jellegű hamisítások ellen, de az azonosítók mindössze 16 bit hosszúak, a mai DNS fogalom mellett pedig belátható időn belül összehozható egy jó kis ütközés.

A hibáról, és a lehetséges javítási módokról a Matasano Chargenen jelent meg véletlenül egy elég jó összefoglaló, amit azóta - Kaminsky elveit követve - leszedtek, de a hivatalos bejelentést követően minden bizonnyal vissza fognak rakni. Ennek tanúsága szerint egy megfelelően gyors internetkapcsolattal rendelkező támadó kb. 10 másodperc alatt véghez tud vinni egy ilyen támadást. 

Aki teheti, sürgősen foltozza be a fennhatósága alá tartozó NS-eket, vagy váltson OpenDNS-re

 

Címkék: bug dns pwnie awards

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

.Andrei (törölt) · http://www.andreiground.com/ 2008.07.22. 22:44:20

Viva Las Vegas :DDD Kiváncsi vagyok, hogy ez mennyire függ össze az ICANN-os szituval. Gondolom ez volt az alapja.

badkarma · http://badkarma.blog.hu 2008.07.23. 10:43:17

packetstormsecurity.org/papers/protocols/dns-writeup.txt

Gigaoverhype. Remelem nem csak ennyi, de mivel Dan bejelentette, hogy "The skies aren't falling" en erre tippelnek.

IPhone FTW \o/

BK

phr3ak 2008.07.23. 12:43:09

ha jól értelmezem akkor azon kívül, hogy tudnod kell csomagot küldeni hamisított forrás ip-vel és a 16 bites id-nak is megfelelőnek kell lenni, gyorsabbnak is kell lenned mint a valódi ns aki vissza fog küldeni egy NXDOMAIN üzenetet.

buherator · http://buhera.blog.hu 2008.07.23. 20:10:22

@badkarma
Köszi a linket! Gyk.: ez a papír volt fennt a Matasanon. Addig nem teszem közzé a magyar változatot, amig az eredeti helyre fel nem rakják, de azt hiszem, hogy akinek érdekes a téma, az megbírkózik az angollal is :)

@phr3ak
Igen, az időzítés is fontos tényező.