Los chicos de bandaancha.st han conseguido, mediante uno de los nuevos exploits de DNS, inyectar información falsa a uno de los servidores DNS de telefonica. Es urgente que todos los que estamos con telefonica usemos openDNS o mas de uno va a tener un disgusto.
|
etiquetas: dns , telefonica , exploit
Algo así es lo que se hace cuando se envenena un servidor DNS: haces que las direcciones tipo google.com, paypal.es, etc... apunten a máquinas que no son la legítima, de modo que puedes engañar al usuario y robarle contraseñas, correos o cualquier otro dato sensible que te piden y que tú das porque confías en ese dominio www.
Repito, es MUY importante migrar a OpenDNS tal y como se recomienda.
#0 #2 Lo de usar OpenDNS no lo encuentro en en la noticia. ¿Es opinión?
En el artículo no dice que lo hayan conseguido
DNS primario
* 208.67.222.222
DNS secundario
* 208.67.220.220
Mas info aqui:
www.opendns.com
Yo diria que esto:
Realmente lo que hemos hecho es inyectarle un información falsa sobre el dominio dnspoisoning.bandaancha.eu que hemos creado para la ocasión. Sus DNS autoritativos apuntan a la IP
89.248.99.20 y el exploit lo que hace es envenenar el servidor con información falsa de modo que apunte a la IP 89.248.99.18.
Es que lo han conseguido
Y me estoy refiriendo a la negligencia por parte de Telefónica
Algo así es lo que se hace cuando se envenena un servidor DNS: haces que las direcciones tipo google.com, paypal.es, etc... apunten a máquinas que no son la legítima, de modo que puedes engañar al usuario y robarle contraseñas, correos o cualquier otro dato sensible que te piden y que tú das porque confías en ese dominio www.
Bueno, no es una opinion, es la recomendacion que se hizo desde www.kriptopolis.org/
Para mi, la opinion de esta página me merece toda la credibilidad del mundo.
Nada mas ^^
De todos modos hay que saber también que éste último soft aunque complica las cosas a los posibles atacantes, tampoco es invulnerable del todo al exploit.
Si la respuesta del servidor DNS de OpenDNS viene replicada de un servidor desactualizado, éste (el openDNS) va a responder erroneamente ya que para él sería la correcta.
No se si me explico.
En linux tienes que editar el archivo:
/etc/resolv.conf
y añadir:
nameserver 208.67.222.222
nameserver 208.67.220.220
Tambien por consola:
www.opendns.com/start?device=ubuntu
Tienes toda la razon, pero ya sabemos que en este pais las cosas de palacio van despacio y no es plan de que nosotros paguemos el pato. Para eso estan paginas de informacion como meneame que llegan a mucha gente.
Tu consultas al servidor DNS de tu ISP (o a los de openDNS, es lo mismo) y estos si no conocen la dirección IP por la que preguntas se van directos a los root-server, de los root-server obtienen el servidor DNS legítimo y a este es a quien preguntan la IP.
Una vez obtienen la IP la responden a quien la ha preguntado y la guardan para próximas consultas.
Por lo tanto hay 4 partes implicadas (a veces 5):
- Cliente: tu. No es probable que seas víctima directa de un ataque DNS.
- ISP o openDNS: Estos son los que te responden a tí y tienen el cache. Las victimas de este ataque. El openDNS es inmune, los de los ISP también o esperemos que lo sean en breve.
- Root Servers: Estos es muy raro que se vean afectados. Hay pocos (un par de decenas ?) y son los que siempre están mejor protegidos.
- Cache DNS de ISP: Esto es opcional, algunos clientes usan los servidores DNS de su ISP para descargar sus servidores de esta tarea. Estos servidores DNS del ISP pueden ser víctimas del ataque.
- Servidor DNS legítimo de la zona: Este es quien tiene la resolución real. El cache no es necesario y por lo tanto no puede ser falsificado.
Por lo tanto tenemos dos posibles puntos de fallo, los DNS del usuario final y el opcional cache DNS del ISP de quien ofrece la web.
La diferencia principal, y por la que se recomienda openDNS, es porque desde el punto de vista de quien ofrece el servicio éste no puede tener control sobre el DNS de tu ISP, pero si que puede sobre sus servidores DNS legítimos o puede reclamar a los servidores DNS que le hacen de Cache que solucionen el problema o bien temporalmente desactivar el Cache del ISP (reconfigurando los servidores DNS en los root server).
Dicho de otra forma, si eres LaCaixa puedes controlar, y proteger, todo menos el servidor DNS que utiliza el usuario final.
Esto es mucho más peligroso, que el phishing normal, por que en este veríamos algo como:
www.kravokia.ru/?=https://www.lacaixabp.es/privado/logon.asp
Cuando la web normal es:
www.lacaixabp.es/privado/logon.asp
Por ejemplo el Firefox o el Thunderbird podeis ver realmente a donde a punta un enlace en la barra de estado. Óvbiamente el primer caso es una web falsa.
En el caso de las DNS envenadas la cosa se complica por que no se vé la redirección. Ya que el enlace a punta a la web verdadera y es el momento de la petición al servidor DNS cuando se produce el cambio, en resumen:
Servidor DNS seguro:
1 - Entrámos en www.lacaixabp.es/privado/logon.asp el servidor DNS a punta a la IP real de la web.
2 - Hacemos nuestras gestiones
3 - Salimos
Servidor DNS "envenenado"
1 - Entramos en www.lacaixabp.es/privado/logon.asp pero el servidor DNS a punta una IP ¡ Falsa !, es una web de "phishing" (www.kravokia.ru/?=https://www.lacaixabp.es/privado/logon.asp)
2 - Hacemos nuestras gestiones
3 - Salimos, ¡ pero nos han capturado nuestros datos !
Esto muy resumidamente claro. (Mirar lo que dijo sorrillo en su comentario #30)
Salu2
Si pones en la url: tacatapumpum.net
Los servidores DNS de reenvían a : guide.opendns.com/?url=tacatapumpum.net
Los de OpenDNS te permiten registrarte y usar opciones avanzadas, desconozco si esto se puede desactivar desde ahí.
Hay bastantes cosas que no me gustan de OpenDNS, una de ellas es la que acabo de comentar, otra es esta: fr.pastebin.ca/689242
Al parecer no se están comportando como deberían y pueden estar ensuciando mucho el servicio DNS. En los DNS de tu ISP eso no pasa (excepto en casos concretos de EEUU donde si ha habido alguna queja).
Eres libre de configurar tus dns para que apunten a OpenDNS, en los ISP que hacian esto se configuraban automaticamente por DHCP. No es lo mismo.
Es un servicio lleno de porquería. Tiene filtros activados por defecto que solo puedes desactivar si creas una cuenta (gratuita de momento, eso si) y que solo puedes mantener si usas un cliente Mac/Windows que actualice la IP dinámica cada vez que la cambia tu ISP (para Linux no hay cliente oficial).
El servicio de OpenDNS Search no se puede desactivar. Tampoco se puede configurar el buscador, el que viene es el de yahoo.
Para ciertos casos te redirigen a un proxy que tienen, dicen que son casos excepcionales y siempre con la excusa de crear una mejor experiencia para el usuario.
Veo demasiadas cosas sospechosas y muchos intereses comerciales detrás, creo que se venderán al mejor postor cuando tengan suficiente masa de usuarios y se convertirá en un sistema para publicitar a los anunciantes (si controlas el DNS controlas la forma como se muestran las webs).
No digo que no se utilice durante esta crisis, pero para mi no es un servicio atractivo de cara al futuro.
Eso soluciona el problema de la resolución local.
Que exista solución no significa que justifique lo que hacen los de openDNS, me sigue pareciendo fatal.
#37 no te has enterado todavía de como funciona opendns ?? tal como está montado solo podría fallar si los root servers son vulnerables y NO lo son..
Aunque la hubiera no sería viable a menos que uses Windows o Mac si dispones de IP dinámica (lo mas común a nivel residencial).
En este hilo explican porqué no tienen previsto permitir desactivarlo:
forums.opendns.com/comments.php?DiscussionID=158
Salu2
To avoid having your settings get revoked after reboots, or after periods of inactivity, do this:
$ sudo cp /etc/resolv.conf /etc/resolv.conf.auto
$ sudo gedit /etc/dhcp3/dhclient.conf
# append the following line to the document
prepend domain-name-servers 208.67.222.222,208.67.220.220;
# save and exit
$ sudo ifdown eth0 && sudo ifup eth0
You may be required to change eth0 to your own network device's name if it uses a non-standard name.
El concepto distribuido del DNS pretende descargar a los root servers del trabajo que supondría dar servicio a todos los usuarios a la vez.
Por otra parte, y volviendo al tema del hilo principal, sobre el tema del envenenamiento, al final Dan Bernstein (el autor de djbdns y qmail entre otros), sera lo que quieras, pero hace casi 10 años que sabia que algo así pasaría (y básicamente se demuestra viendo que tinydns no ha sido nunca vulnerable a esto, aparte de que por construcción el servidor autoritativo y el recursivo son dos programas separados, etc).
Los rootservers son servidores autoritativo (digamos los que almacenan los registros originales de una zona, en caso de los rootservers guardan listados de los proveedores de .com .net, etc ), y lo que necesita un cliente para resolver DNS es la ip de un resolutor recursivo (esto es, un programa, normalmente ofrecido por tu ISP, que "va tirando del hilo" hasta llegar al servidor autoritativo del dominio que solicitas).
Ejemplillo:
Tu pides la direccion de www.google.com a tu resolutor recursivo
Este busca la informacion en los rootservers de quien ofrece .com
Luego pregunta a estos si alguno sirve google.com
Luego pregunta a este cual es el que sirve www.google.com
(bueno es mucho mas complicado que eso, pero esa es la idea original)
Tambien tienes la posibilidad de instalarte un resolutor recursivo, pero en principio es un pelin mas lento, porque suelen tener caches y en este caso solo tendría lo que TU has consultado con anterioridad, no todos los usuarios de tu ISP.
Espero haberme explicado, ma o meno...
El descubrimiento es de Dan Kaminsky (al menos la forma de explotarlo) y lleva un tiempo dando información a distintos proveedores para que corrijan el problema.
Bandaancha.st espero hasta que se creara el exploit (lo cual me parece perfecto), pero tiene merito como medio de comunicación y nada mas (que no es poco por otra parte).
NOTA: Es alarmante el numero de ISPs que NO han actualizado. Por favor, comprobar el vuestro (buscad en kriptopolis.org como se hace o bien ir a la page de kaminsky www.doxpara.com )
Pero más allá de eso, la operadora indicada es Telefonica-Data, que no es la misma Telefonica exactamente (sí es la misma, pero otra división por así decirlo), que provee adsl, imagenio y todas esas lineas de las que el personal se queja, y cuyas DNS empiezan todas por 80.58 y acaban por 61.250 / 61.254 / 0.33 / 32.97
Ese ISP es más bien para empresas (lo que también puede hacer pupa, claro que sí), pero esta noticia es de un amarillismo fino, fino.
Sorrillo compa, aunque me dí cuenta, llegué tarde para editarlo.
Salu2
Estas entidades no cambian sus IPs habitualmente y si lo hicieran lo actualizamos en cuanto veamos que no rulan y listo. Eso si, siempre consultando la IP de una fuente fiable (lease DNS parcheado).