E

cha odkrycia ataku Kaminsky’ego z 2008 roku wciąż odbijają się po internecie. Badacze z JSOF odkryli 7 luk znalezionych w powszechnie używanym oprogramowaniu (około 40 producentów urządzeń sieciowych, jak również w głównych dystrybucjach Linuksa) do przekazywania zapytań DNS i przechowywaniu w pamięci podręcznej ich odpowiedzi – Dnsmasq. Od prawie dekady bardzo duża część internetu nadal polega na DNS jako źródle integralności dlatego ataki na tą usługę zagrażają dużym segmentom sieci. Luki w DNSpooq obejmują podatności związane z zatruwaniem pamięci podręcznej DNS, a także potencjalnej możliwości wykonania kodu. Lista urządzeń korzystających z Dnsmasq jest długa i zróżnicowana. Zgodnie z przeprowadzonymi badaniami użytkownikami tego rozwiązania są takie firmy jak: Cisco, Android, Aruba, Technicolor, Siemens, Ubiquiti, Comcast i inne. W zależności od tego jak używają Dnsmasq urządzenia te mogą być bardziej lub mniej dotknięte odkrytymi podatnościami.
[ czytaj całość… ]

N

aukowcy z Uniwersytetu Tsinghua i Uniwersytetu Kalifornijskiego na tegorocznej konferencji ACM CCS przedstawili nową metodę, którą można użyć do przeprowadzania ataków polegających na zatruwaniu pamięci podręcznej DNS. Nowe odkrycie ożywia błąd z 2008 roku, który kiedyś uważano za rozwiązany na dobre. W celu zrozumienia na czym polega reinkarnacja tego ataku powróćmy do jego podstaw. DNS jest książką adresową internetu. Co się dzieje jak wpisujemy adres URL (ang. Uniform Resource Locator) np. https://nfsec.pl do przeglądarki? Przeglądarka sprawdza swoją pamięć podręczną pod kątem wpisu DNS, aby znaleźć odpowiedni adres IP witryny. Jeśli nie zostanie znaleziony kontynuuje sprawdzanie pamięci podręcznej: systemu operacyjnego, najbliższego serwera DNS (routera lub ISP). Jeśli wpis nadal nie zostanie znaleziony to serwer DNS (routera lub ISP) inicjuje zapytanie DNS w celu znalezienia adresu IP serwera obsługującego nazwę domeny (autorytatywnego) i prosi go o podanie adresu IP szukanej domeny.
[ czytaj całość… ]

D

zień jak codzień spoglądamy na dashboard z top zapytań DNS, aby widzieć jakie zapytania są kierowane z i do naszych serwerów. W zależności od używanych resolverów lub sposobu zbierania danych o zapytaniach DNS nagle możemy zacząć zastanawiać się, dlaczego niektóre nazwy zapytań wyglądają na zniekształcone. Kto normalny pyta o NfSeC.pL? Z pewnością jakiś skryptowy dzieciak się czymś bawi. Ale chwila tych domen jest znacznie więcej. Więc co tu się dzieje? Nowa forma ataku na DNS?
[ czytaj całość… ]

K

iedy wpisujemy URL w pasku adresu nasz komputer wysyła zapytanie DNS do właściwego serwera DNS i otrzymuje odpowiedni adres IP, który służy do osiągnięcia łączności z docelowym systemem. Protokoły takie, jak SSL/TLS, HTTPS zapewniają szyfrowanie komunikacji pomiędzy serwerem, a klientem po fakcie rozwiązania nazwy domeny. A, co jeśli atakujący przejmie komunikację pomiędzy serwerem DNS i jego klientem podczas procesu rozwiązywania domeny? Przekieruje ruch do spreparowanego serwera w celu kradzieży danych lub przeprowadzenia ataku DoS? W tym celu został opracowany mechanizm bezpieczeństwa pod postacią ciasteczka DNS.
[ czytaj całość… ]

M

ulticast DNS (mDNS, DNS w trybie rozsyłania grupowego) został stworzony w celu wykonywania operacji DNS w sieciach lokalnych pozbawionych konwencjonalnego serwera DNS działającego w trybie transmisji jednostkowej – unicast. Jako usługa typu zero-config wymaga niewielkiej lub nie wymaga żadnej konfiguracji, aby korzystać z połączenia pomiędzy uczestnikami w sieci. Protokół ten działa, nawet gdy nie ma żadnej infrastruktury lub jest ona w stanie awarii – wymaga jedynie współpracy pomiędzy innymi użytkownikami w sieci.
[ czytaj całość… ]

B

IND jest serwerem DNS tworzonym przez ISC (ang. Internet Systems Consortium) powszechnie używanym do rozwiązywania nazw hostów na adresy IP i odwrotnie. Jako kluczowy element infrastruktury serwery DNS często stają się celem ataków. Podejmując jednak kilka prostych kroków można pomóc w ochronie swojej sieci oraz całego Internetu. Niniejszy artykuł zawiera minimum informacji potrzebnych do poprawny bezpieczeństwa BIND9 pozwalając administratorom systemów zminimalizować zagrożenie. Zdecydowanie najważniejszą rzeczą jest, aby odseparować działanie serwera DNS od innych usług typu serwery WWW, poczty, czy ftp, które są równie często atakowanymi usługami.
[ czytaj całość… ]

Ó

smego lipca 2008 roku Dan Kaminsky przedstawił poważne luki w implementacjach zabezpieczeń systemu nazw domenowych (ang. Domian Name System, DNS). Obejmują one luki wykryte w serwerach DNS BIND 8 i 9 przed wersjami 9.5.0-P1, 9.4.2-P1, oraz 9.3.5-P1; (2) Microsoft DNS w Windows 2000 SP4, XP SP2 i SP3, oraz Microsoft Server 2003 SP1 i SP2, a także prawdopodobnie w innych implementacjach, które pozwalają na sfałszowanie ruchu DNS techniką zatruwania DNS poprzez atak urodzinowy używający przekazywanych do rozpatrzenia rekordów in-bailiwick.
[ czytaj całość… ]