• Xitroff Senior MemberАвтор темы
    офлайн
    Xitroff Senior Member Автор темы

    9188

    19 лет на сайте
    пользователь #33134

    Профиль
    Написать сообщение

    9188
    # 10 июля 2008 15:12

    Оригинал статьи на хабре

    В протоколе DNS была обнаружена практически используемая дыра. Не в каком-то конкретном клиенте, но в самом протоколе. Причём известна-то она была давным-давно, но все "эксперты" сходились на том, что "ну в теории это - может и проблема, но на практике это использовать невозможно". Но не так давно был изобретён способ практического использоваться "cache poisoning" - и это спутало все карты. Похоже, что это - очередное испытание Интернета на прочность: планируется "largest synchronized security update in the history of the Internet", в котором должны будут участвовать десятки вендоров (что не так страшно) и сотни и тысячи ISP (а вот это уже страшнее - многие из них очень халатно относятся к обновлению ПО на серверах).

    На настоящее время информации в публичном доступе немного. Есть интервью с человеком, который обнаружил уязвимость http://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamenta ... -released/, есть сайт http://doxpara.com/ на котором вы можете проверить - используется ли ваш компьютер уязвимый DNS или нет (на самом деле, конечно, будет проверен не ваш DNS, а DNS, которым пользуется ваш proxy-сервер).

    Также есть некоторая информация о возможных последствиях: злоумышленник может заставить кеширующий DNS-сервер считать что любой сайт в Internet находится где угодно. Какие перспективы для злоупотреблений это открывает мне, я надеюсь, объяснять не нужно (что будет если SMTP-сервер вашего партнёра научат отсылать вашу почту не сразу к вам, а на сайт злумышленника - а оттуда уже к вам?).

    Дэн Камински обещал опубликовать подробности на пресс-конференции 6го августа, но предполагается что к тому времени (на основе опубликованных патчей) она будет уже известна многим (и не все эти люди будут носить "белые шляпы";).

    Такие дела. Большая часть новостных сайтов трубят о том, что "закрыта фундаментальная уязвимость", но вот первое слово - тут явно по ошибке. Не "закрыта", а "закрывается" и когда она будет "закрыта" окончательно - одному богу ведомо.

    P.S. Для тех кто в танке: речь не идёт о теоретических изысканиях в вопросе уязвимости DNS-протокола (про это говорили ещё два года назад). Речь идёт о практическом использовании данной узявимости - причём с вероятностью успеха достаточной для того, чтобы засуетелись крупные фирмы типа Cisco, Microsoft (не говоря уже о Linux-вендорах).

    P.P.S. Обнаружил что про это уже писали, но так как то был топик ссылка, то, похоже, никому не захотелось даже прочить статью, на которую вела ссылка. Все дружно отплюсовали комментарии типа "боян", "фигня", "практически это использовать нельзя" и т.п., после чего успокоились. "Боян" это или "фигня" мы точно узнаем только 6 августа, а пока - для меня является достаточным критерием тот факт, что все известные мне системы были срочно обновлены вчера-позавчера. Не "два года назад", не "месяц" назад, а "буквально на днях". Что-то же заставило кучу вендоров это делать? Или они все борются с ветряными мельницами?

    Проверил своего провайдера byfly - подвержен угрозе.

    Прочтите также http://www.lenta.ru/articles/2008/07/10/miss/

    счетчик уникальных посетителей:

    +375 (29) 777-11-11
  • Адвокат_Дьявола IRC Team
    офлайн
    Адвокат_Дьявола IRC Team

    25913

    21 год на сайте
    пользователь #10877

    Профиль
    Написать сообщение

    25913
    # 10 июля 2008 15:24

    Xitroff, и что теперь? Не ходить в Интернет? :conf:

    ...то, что не стереть, как сильно ни три, свобода это то, что у меня внутри...
  • Xitroff Senior MemberАвтор темы
    офлайн
    Xitroff Senior Member Автор темы

    9188

    19 лет на сайте
    пользователь #33134

    Профиль
    Написать сообщение

    9188
    # 10 июля 2008 15:25

    Адвокат Дьявола™, насторожиться со вводом важных личных данных в формы, чтобы они не попали к злоумышленникам.

    +375 (29) 777-11-11
  • Hollow_Man Senior Member
    офлайн
    Hollow_Man Senior Member

    1035

    18 лет на сайте
    пользователь #64407

    Профиль
    Написать сообщение

    1035
    # 10 июля 2008 15:38

    У меня: "Your name server, at ***.***.***.**, appears to be safe". Это типо все :super:?

  • Xitroff Senior MemberАвтор темы
    офлайн
    Xitroff Senior Member Автор темы

    9188

    19 лет на сайте
    пользователь #33134

    Профиль
    Написать сообщение

    9188
    # 10 июля 2008 16:05

    Hollow Man, у меня уже тоже :idea:

    +375 (29) 777-11-11
  • tsyrkun Junior Member
    офлайн
    tsyrkun Junior Member

    38

    14 лет на сайте
    пользователь #202776

    Профиль
    Написать сообщение

    38
    # 10 мая 2011 14:28

    может кто подскажет, у меня несколько дней ess выдает Обнаружена атака DNS cache poisoning пачками. в это время скорость падает катастрофически. объект - комп, источник - адсл модем, реже днс прова (byfly). вирей не найдено, вроде ничего страшного не происходит, только лагает во время атак жестко. как эту беду побороть?:spy:

  • Curtein Senior Member
    офлайн
    Curtein Senior Member

    1554

    19 лет на сайте
    пользователь #36531

    Профиль
    Написать сообщение

    1554
    # 10 мая 2011 16:05

    tsyrkun, поставьте модем в режим роутера. не поможет - забейте днс вручную, не поможет - включите dns security на модеме

  • tsyrkun Junior Member
    офлайн
    tsyrkun Junior Member

    38

    14 лет на сайте
    пользователь #202776

    Профиль
    Написать сообщение

    38
    # 10 мая 2011 17:59

    Curtein, модем в роутере, днс прописал гугловские 8.8.8.8, а как днс секьюрити включить? модем zte w300

  • Curtein Senior Member
    офлайн
    Curtein Senior Member

    1554

    19 лет на сайте
    пользователь #36531

    Профиль
    Написать сообщение

    1554
    # 11 мая 2011 09:42

    tsyrkun, ну, так как 8.8.8.8 точно использует dnssec, то такая атака нереальна. к тому же, корпоративные файрволы даже не требуют дополнительной настройки, для защиты от таких простых атак. Ваш ФВ ругается на частую смену IP/dns name в подключениях скайпа, торрент-клиента или другой программы. Так что, используйте байфлаевский днс сервер и доверьтесь их файрволу, а в вашем эту фишку отключите : )

  • tsyrkun Junior Member
    офлайн
    tsyrkun Junior Member

    38

    14 лет на сайте
    пользователь #202776

    Профиль
    Написать сообщение

    38
    # 11 мая 2011 23:06

    Curtein, спасибо за помощь :beer:

    похоже само по себе проходит.. я так и не понял что это было:conf: