Bug en el DNS y la inercia de los ISP locales
31 views
Skip to first unread message
Noel Vargas
Jul 28, 2008, 11:23:21 AM7/28/08
to Seguridad Software Libre Nicaragua
Hola a todos,
A estas alturas deben haber leído o escuchado algo del bug que
Kaminsky "descubrió" en el DNS. Ya en varias listas de correo
nacionales se ha tocado el tema, incluso en Metasploit ya fue
incorporado el exploit, pero me llama la atención que, al hacer la
prueba a los DNS de los ISP locales... ninguno ha parchado el asunto.
La falla no afecta a aquellos que resuelven únicamente su dominio, que
no ofrecen recursión, pero en el caso de los ISP la historia es otra.
Posiblemente peguen el brinco, si es que se llegan a enterar que están
envenenados, hasta que les reviente la torta en las manos. Qué lindo
va a ser cuando quieran entrar a la sucursal electrónica del BAC y los
mande a otro sitio con un interfaz idéntico....
Sé que hay varios miembros de este grupo que trabajan con ISPs, mi
pregunta es... por qué tardan tanto en aplicar este parche para una
falla que va a afectar mucho a sus clientes?
A estas alturas deben haber leído o escuchado algo del bug que
Kaminsky "descubrió" en el DNS. Ya en varias listas de correo
nacionales se ha tocado el tema, incluso en Metasploit ya fue
incorporado el exploit, pero me llama la atención que, al hacer la
prueba a los DNS de los ISP locales... ninguno ha parchado el asunto.
La falla no afecta a aquellos que resuelven únicamente su dominio, que
no ofrecen recursión, pero en el caso de los ISP la historia es otra.
Posiblemente peguen el brinco, si es que se llegan a enterar que están
envenenados, hasta que les reviente la torta en las manos. Qué lindo
va a ser cuando quieran entrar a la sucursal electrónica del BAC y los
mande a otro sitio con un interfaz idéntico....
Sé que hay varios miembros de este grupo que trabajan con ISPs, mi
pregunta es... por qué tardan tanto en aplicar este parche para una
falla que va a afectar mucho a sus clientes?
Joaz Rivera
Jul 28, 2008, 2:56:39 AM7/28/08
to seguridad-softwar...@googlegroups.com
Por los responsables de eso están jugando COD4 mi estimado
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Lunes, 28 de Julio de 2008 06:23 p.m.
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Bug en el DNS y la inercia de los ISP
locales
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Lunes, 28 de Julio de 2008 06:23 p.m.
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Bug en el DNS y la inercia de los ISP
locales
Walter Pichardo
Jul 28, 2008, 5:23:44 PM7/28/08
to seguridad-softwar...@googlegroups.com
del test que hice la semana pasanda habian dos isp que si habian parchado uno es cablenet y el otro es amnet, de mi parte centos ya saco el parche para su sistema, igual redhat :)
--
===================================
Walter Pichardo
Linux User # 402402
Si te preocupas por tu salud haslo por el Planeta
===================================
===================================
Walter Pichardo
Linux User # 402402
Si te preocupas por tu salud haslo por el Planeta
===================================
Mario Rocha
Jul 28, 2008, 7:33:28 PM7/28/08
to seguridad-softwar...@googlegroups.com
CentOS ya
parchó .. SuSE .. nel pastel ...
A mí me toca Amnet .. :-P .. yo he estado al pendiente desde que se descubrió el bug ...
Saludos ..
A mí me toca Amnet .. :-P .. yo he estado al pendiente desde que se descubrió el bug ...
Saludos ..
Noel Vargas
Jul 30, 2008, 12:51:59 PM7/30/08
to Seguridad Software Libre Nicaragua
Bueno, ya comenzaron los ataques.
Publiqué en mi sitio un extracto de un log para que vean cómo se ve un
ataque de estos [1], incluyendo inyecciones para hotmail, gmail,
facebook, el Wachovia Bank, etc.
Al menos ya ENITEL parchó también. Alguien que esté con otros ISP ha
hecho pruebas? Creo que vale la pena hacer la alerta a los ISP que
aún estén vulnerables.
[1]http://www.nicatech.com.ni/verarticulos.php?idArticulo=432
On Jul 28, 5:33 pm, Mario Rocha <evollut...@gmail.com> wrote:
> CentOS ya parchó .. SuSE .. nel pastel ...
>
> A mí me toca Amnet .. :-P .. yo he estado al pendiente desde que se
> descubrió el bug ...
>
> Saludos ..
>
> Walter Pichardo wrote:
> > del test que hice la semana pasanda habian dos isp que si habian
> > parchado uno es cablenet y el otro es amnet, de mi parte centos ya
> > saco el parche para su sistema, igual redhat :)
>
> > El 28 de julio de 2008 0:56, Joaz Rivera<i...@joazrivera.com
> > <mailto:i...@joazrivera.com>>escribió:
Publiqué en mi sitio un extracto de un log para que vean cómo se ve un
ataque de estos [1], incluyendo inyecciones para hotmail, gmail,
facebook, el Wachovia Bank, etc.
Al menos ya ENITEL parchó también. Alguien que esté con otros ISP ha
hecho pruebas? Creo que vale la pena hacer la alerta a los ISP que
aún estén vulnerables.
[1]http://www.nicatech.com.ni/verarticulos.php?idArticulo=432
On Jul 28, 5:33 pm, Mario Rocha <evollut...@gmail.com> wrote:
> CentOS ya parchó .. SuSE .. nel pastel ...
>
> A mí me toca Amnet .. :-P .. yo he estado al pendiente desde que se
> descubrió el bug ...
>
> Saludos ..
>
> Walter Pichardo wrote:
> > del test que hice la semana pasanda habian dos isp que si habian
> > parchado uno es cablenet y el otro es amnet, de mi parte centos ya
> > saco el parche para su sistema, igual redhat :)
>
> > <mailto:i...@joazrivera.com>>escribió:
>
> > Por los responsables de eso están jugando COD4 mi estimado
>
> > -----Mensaje original-----
> > De: seguridad-softwar...@googlegroups.com
> > <mailto:seguridad-softwar...@googlegroups.com>
> > [mailto:seguridad-softwar...@googlegroups.com
> > Por los responsables de eso están jugando COD4 mi estimado
>
> > -----Mensaje original-----
> > De: seguridad-softwar...@googlegroups.com
> > <mailto:seguridad-softwar...@googlegroups.com>
Walter Pichardo
Jul 30, 2008, 4:18:20 PM7/30/08
to seguridad-softwar...@googlegroups.com
aqui unos test de dig
$dig -t txt -c chaos VERSION.BIND @dominio
$ dig +short @{name-server-ip} porttest.dns-oarc.net txt
$ dig +short @ns1.example.com porttest.dns-oarc.net txt
$ dig +short @208.67.222.222 porttest.dns-oarc.net txt
saludos
$dig -t txt -c chaos VERSION.BIND @dominio
$ dig +short @{name-server-ip} porttest.dns-oarc.net txt
$ dig +short @ns1.example.com porttest.dns-oarc.net txt
$ dig +short @208.67.222.222 porttest.dns-oarc.net txt
saludos
Jorge Dávila
Aug 2, 2008, 7:12:15 PM8/2/08
to Seguridad Software Libre Nicaragua
La verdad es que los sistemas no se cuidan solos :-S
Los administradores de sistemas deben al menos:
.- estar inscritos en las listas de correos de los servicios que
administran
.- listas de correo de seguridad
También deben:
.- Monitorear los servidores/servicios
.- Leer los logs (automática o manualmente)
Además, por supuesto, planes de contingencia y no actuar sin tener un
plan de acción.
Saludos,
Jorge Dávila.
Los administradores de sistemas deben al menos:
.- estar inscritos en las listas de correos de los servicios que
administran
.- listas de correo de seguridad
También deben:
.- Monitorear los servidores/servicios
.- Leer los logs (automática o manualmente)
Además, por supuesto, planes de contingencia y no actuar sin tener un
plan de acción.
Saludos,
Jorge Dávila.
Mario Rocha
Aug 4, 2008, 11:51:07 AM8/4/08
to seguridad-softwar...@googlegroups.com
Interesante
..
Hay un parche de SuSE para BIND pero el problema NO SE REUELVE !!
Siguiente paso: Migrar a CentOS ...
Ya sé que Jorge me va a decir que podría bajar el paquete y compilarlo ... pero en vista de ese y otros problemas que he encontrado en esta distro, prefiero mejor cambiar el SO completo ..
Saludos
Hay un parche de SuSE para BIND pero el problema NO SE REUELVE !!
Siguiente paso: Migrar a CentOS ...
Ya sé que Jorge me va a decir que podría bajar el paquete y compilarlo ... pero en vista de ese y otros problemas que he encontrado en esta distro, prefiero mejor cambiar el SO completo ..
Saludos
Mario Rocha
Aug 4, 2008, 11:51:38 AM8/4/08
to seguridad-softwar...@googlegroups.com
Ahh... se
me olvidaba
SuSE ya no tiene disponiblidad de paquetes actualizados para versiones anteriores a la 10
SuSE ya no tiene disponiblidad de paquetes actualizados para versiones anteriores a la 10
Igor Guerrero
Aug 4, 2008, 2:43:31 PM8/4/08
to seguridad-softwar...@googlegroups.com
2008/8/4 Mario Rocha <evoll...@gmail.com>
Interesante ..
Hay un parche de SuSE para BIND pero el problema NO SE REUELVE !!
Siguiente paso: Migrar a CentOS ...
Ya sé que Jorge me va a decir que podría bajar el paquete y compilarlo ... pero en vista de ese y otros problemas que he encontrado en esta distro, prefiero mejor cambiar el SO completo ..
Saludos
Mario, que esta haciendo la gente que usa SuSE? ya preguntaste en las listas?
--
Igor.
http://igordevlog.blogspot.com/
--
Igor.
http://igordevlog.blogspot.com/
Bayardo Rivas
Aug 4, 2008, 3:42:17 PM8/4/08
to seguridad-softwar...@googlegroups.com
Caballeros,
Aprovecho este mensaje para que nos recomendemos las listas de correos
que consideremos necesarias a las cuales los root debemos estar
suscritos para nuestro trabajo. Si alguien tiene sugerencias, creo que
los deberíamos de compartir en la lista y que nuestro amigo Noel lo
ponga en una pagina del Grupo. Creo que así nos ayudamos bastante sin
asumir las responsabilidades de las demas personas.
* Para empezar, creo que cada root debería de estar suscrito a las
listas de las distros que utiliza o sistemas que administra.
* Otro lugar interesante para suscribirse a algunas listas es:
http://www.securityfocus.com/blogs . Aqui se puede suscribir a
"Bugtrack", y "Focus on linux"
Saludos,
Bayardo Rivas.
Aprovecho este mensaje para que nos recomendemos las listas de correos
que consideremos necesarias a las cuales los root debemos estar
suscritos para nuestro trabajo. Si alguien tiene sugerencias, creo que
los deberíamos de compartir en la lista y que nuestro amigo Noel lo
ponga en una pagina del Grupo. Creo que así nos ayudamos bastante sin
asumir las responsabilidades de las demas personas.
* Para empezar, creo que cada root debería de estar suscrito a las
listas de las distros que utiliza o sistemas que administra.
* Otro lugar interesante para suscribirse a algunas listas es:
http://www.securityfocus.com/blogs . Aqui se puede suscribir a
"Bugtrack", y "Focus on linux"
Saludos,
Bayardo Rivas.
Igor Guerrero
Aug 4, 2008, 3:50:45 PM8/4/08
to seguridad-softwar...@googlegroups.com
2008/8/4 Bayardo Rivas <bayard...@puntos.org.ni>
Caballeros,
Aprovecho este mensaje para que nos recomendemos las listas de correos
que consideremos necesarias a las cuales los root debemos estar
suscritos para nuestro trabajo. Si alguien tiene sugerencias, creo que
los deberíamos de compartir en la lista y que nuestro amigo Noel lo
ponga en una pagina del Grupo. Creo que así nos ayudamos bastante sin
asumir las responsabilidades de las demas personas.
* Para empezar, creo que cada root debería de estar suscrito a las
listas de las distros que utiliza o sistemas que administra.
* Otro lugar interesante para suscribirse a algunas listas es:
http://www.securityfocus.com/blogs . Aqui se puede suscribir a
"Bugtrack", y "Focus on linux"
Saludos,
Correcto, si sos administrador de un sistema Linux y no estas en la lista de seguridad de esa distro, simplemente no estas haciendo tu trabajo. Esa es la opinion de un desarrollador de software(yo :P)
--
Igor.
http://igordevlog.blogspot.com/
Mario Rocha
Aug 4, 2008, 4:05:51 PM8/4/08
to seguridad-softwar...@googlegroups.com
No .. en
realidad es en parte una cuestión de comodidad .. sinceramente, no me
gusta y nunca me ha gustado SuSE .. ellos hacen un montón de cosas a su
gusto y antojo con el mero afán de ser "diferentes" ... tal vez por eso
prefiero mejor no usar SuSE y hacer el cambio ..
Saludos
Saludos
Walter Pichardo
Aug 5, 2008, 4:28:51 PM8/5/08
to seguridad-softwar...@googlegroups.com
mmm, ya veo que no soy el unico que ha tenido mala experiencia con suse, aparte de los parches de seguridad y el desmadre que hacen para instalar y compilar algun paquete en servicios de produccion no le ha hecho gana, Centos o RedHat siempre me han resuelto, aparte de eso que siempre tienen repositorios disponible con sus parches al dia. :), de hecho la distribucion que uso e instalo es centos suse ni para ambiente de laboratorio lo recomiendo jeje ;)
Saludos
Saludos
Bayardo Rivas
Aug 8, 2008, 12:45:34 PM8/8/08
to seguridad-softwar...@googlegroups.com
Caballeros,
Cómo es la prueba a los DNS?? Tengo un par que quisiera revisar su estado?
Gracias por cualquier ayuda.
Bayardo/
Noel Vargas escribió:
Cómo es la prueba a los DNS?? Tengo un par que quisiera revisar su estado?
Gracias por cualquier ayuda.
Bayardo/
Noel Vargas escribió:
Noel Vargas
Aug 8, 2008, 3:51:45 PM8/8/08
to seguridad-softwar...@googlegroups.com
Podés hacer la prueba a tus resolvers aquí:
http://www.doxpara.com/
2008/8/8 Bayardo Rivas <bayard...@puntos.org.ni>:
--
Noel Vargas Baltodano
http://www.doxpara.com/
2008/8/8 Bayardo Rivas <bayard...@puntos.org.ni>:
Noel Vargas Baltodano
Mario Rocha
Aug 11, 2008, 11:05:19 AM8/11/08
to seguridad-softwar...@googlegroups.com
Desde un
linux, podés usar
dig +short @ns.domainname.com porttest.dns-oarc.net TXT
Del resultado tenés que revisar que te diga una frase GREAT .. si obtenés POOR, el DNS server está vulnerable .
Saludos
dig +short @ns.domainname.com porttest.dns-oarc.net TXT
Del resultado tenés que revisar que te diga una frase GREAT .. si obtenés POOR, el DNS server está vulnerable .
Saludos
Joaz Rivera
Aug 13, 2008, 1:32:54 AM8/13/08
to seguridad-softwar...@googlegroups.com
Hackean parche que corregía vulnerabilidad crítica de DNS:
Supuestamente tomo 10 horas para encontrar y hackear la vulnerabilidad
por el físico ruso Evgeniy Polyakov, quien asegura haber inducido al parche a enviar una dirección IP falsa..
El científico ruso indica que un servidor de ataques envía entre 40.000 y 50.000 respuestas falsas antes
de encontrar la dirección correcta. Si el número del puerto coincide, las posibilidades de vulnerar el agujero son de 60%.
L0L
Reply all
Reply to author
Forward
0 new messages