Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Masiva actualización coordinada de servidores DNS

Ver el tema anterior Ver el tema siguiente Ir abajo

Masiva actualización coordinada de servidores DNS

Mensaje por Gaillimh el Jue Jul 10, 2008 5:51 am

Hispasec - una-al-día 09/07/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Masiva actualización coordinada de servidores DNS: Grave vulnerabilidad
en la implementación del protocolo que "sustenta" Internet

-----------------------------------------------------------------------

Toda vulnerabilidad es importante y tiene un potencial impacto en la
red. Sin embargo, cuando hablamos de la resolución de nombres y de
problemas en los servidores DNS, la gravedad se multiplica porque se
supone que los servidores DNS sustentan la red. La navegación, el correo
y cualquier traducción dominio-IP se realiza en los servidores DNS. Casi
todo dispositivo conectado a Internet necesita resolver nombres. Un
fallo en este protocolo hace que toda la infraestructura de la red se
tambalee. Quien domine la resolución de nombres, domina Internet.
Presuntamente un fallo de este tipo es lo que parece que se ha
descubierto.

Las bases del problema descubierto no son nuevas, y no se trata de un
fallo en la implementación de un fabricante en concreto. Más bien, se
trata de una nueva forma de engañar a los servidores DNS para que den
respuestas falsas, gracias a un fallo inherente del protocolo. No se han
dado detalles técnicos sobre el problema. El descubridor Dan Kaminsky ha
llevado en secreto su investigación durante meses, esperando a que todos
los grandes fabricantes implicados se pusiesen de acuerdo para programar
una solución y publicar los parches correspondientes. El 8 de julio ha
sido el día elegido.

El protocolo DNS y los programas que lo implementan se han visto
lacrados desde siempre con múltiples problemas de seguridad. Por varios
métodos distintos:

* Atacando al servidor a través de un desbordamiento de búfer, inyectar
código o accediendo al servidor para modificar las zonas. Aunque esto es
ya menos común, durante los años 90, BIND el programa casi estándar de
facto en servidores DNS, sufrió de muchas vulnerabilidades de este tipo.

* Envenenamiento de la caché de los servidores. Un atacante puede montar
su propio servidor DNS y "mentir" a un servidor DNS legítimo que le
pregunta por registros que no tiene (los servidores DNS se preguntan
constantemente entre sí para actualizar sus datos y redireccionar
correctamente todos los dominios a las mismas direcciones). Esta
transferencia contiene datos falsos que resuelven incorrectamente las
preguntas de los clientes. El servidor legítimo almacena esa información
falsa un tiempo en su caché (para ganar tiempo en la próxima resolución)
y así las víctimas pueden ser enviadas a otro sitio.

* Falsificación del ID. Este método consiste en hacerse pasar por la
respuesta legítima de un servidor DNS. El cliente que ha hecho una
pregunta recibe directamente una respuesta falsa de un atacante.

Estos dos últimos métodos han sido muy populares también en los últimos
años, con numerosas técnicas que permitían llevar a cabo el ataque. Bien
por fuerza bruta (bombardeando con peticiones) bien por fallos de
implementación del protocolo. Pero no termina de solucionarse porque en
realidad, el protocolo DNS no utiliza generalmente métodos de
autenticación. Para que un servidor DNS responda una consulta, no es
necesario autenticarse de ninguna forma. La manera de distinguir entre
consultas entre sí, está basada únicamente en tres datos: puerto UDP de
origen, IP y DNS ID.

Históricamente se han realizado muchos experimentos que permiten o bien
adivinar o deducir tanto el puerto origen UDP desde el que se ha
realizado una consulta como el identificador de transacción y así poder
falsificar respuestas y que el cliente vaya a una dirección IP falsa.
Este último descubrimiento, al parecer, tiene que ver una vez más con la
posibilidad de conocer el número de identificador DNS y poder así
envenenar la caché de los servidores. Este campo dispone sólo de 16 bits
de "espacio" en la cabecera de un paquete e identifica de forma única
una petición. Las posibilidades son de unas 32.000. Con el tiempo, se
han ido añadiendo mejoras para evitar la fuerza bruta y hacer más
compleja la posibilidad de conocer este identificador, pero el método
"de base" usado sigue siendo el problema.

No se han dado detalles técnicos sobre el fallo descubierto, aunque sí
se sabe que los parches añaden entropía al cálculo de este identificador
para que resulte mucho más complejo predecirlo de alguna forma. Así que
puede que no sea un fallo totalmente nuevo (la debilidad de confiar en
un número tan pequeño de posibilidades se conoce desde hace años) sino
quizás alguna forma novedosa de aprovecharlo que lo hace más sencillo y
por tanto, peligroso.

Hasta ahora, Cisco, Microsoft, BIND y otras muchas distribuciones Linux
han publicado sus respectivas actualizaciones, en un esfuerzo
sincronizado y secretismo coordinado no vistos hasta la fecha. Dan
Kaminsky (que al parecer se topó con el problema de forma casual)
pretende dar los detalles en la conferencia Black Hat de agosto.

En cualquier caso, y aunque el fallo sea importante, también es cierto
que hace años, cuando los ataques de este tipo eran más sencillos y
factibles que hoy en día, nunca se ha observado que hayan sido llevados
a la práctica de forma masiva o generalizada por atacantes.

Se recomienda a todos los administradores que parcheen sus sistemas
cuanto antes.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3546/comentar

Más información:

Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113

CERT VU#800113 DNS Cache Poisoning Issue
http://www.isc.org/index.pl?/sw/bind/bind-security.php


Sergio de los Santos
ssantos@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Proveedores de Internet solucionan fallo en secreto

Mensaje por Gaillimh el Mar Jul 15, 2008 12:38 pm

Proveedores de Internet solucionan fallo en secreto
12-07-2008
Un defecto relacionado con los nombres de dominio, fue solucionado por muchas empresas, sin hacerlo público para evitar que fuera utilizado en forma maliciosa.

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1032

Dan Kaminsky, investigador de seguridad informática, encontró y reportó un problema en forma privada al CERT (U.S. Computer Emergency Readiness Team), el cuál estaba en el sistema de nombres de dominio (DNS).

DNS (Domain Name System en inglés), interpreta los nombres en las direcciones Internet y las transforma en números que el protocolo IP utiliza para encontrar el servidor correspondiente.

La explotación de este defecto, podría permitir controlar todo el tráfico de Internet, incluidos los correos electrónicos y otros datos transmitidos. Mediante un ataque que aprovechara el problema, se podrían colocar datos en los servidores, que luego serían tomados como válidos, redirigiendo a los internautas a sitios dudosos o especialmente preparados para estafas o para explotar otras vulnerabilidades. Esto podría ser posible con cualquier dominio de Internet.

En un esfuerzo conjunto y en secreto, las compañías de software junto con los investigadores, crearon actualizaciones para la mayoría de los sistemas afectados. Estas fueron implementadas todas al mismo tiempo y en el mismo día.

La solución implementada, estaría relacionada con hacer que el sistema DNS fuera más randómico, lo cual según Kaminsky, es algo que evitaría los ataques.

Los detalles técnicos aún se mantienen en secreto, debido a que hay redes que no pueden utilizar el parche para solucionar el problema, hasta que sus administradores sean contactados para poder encontrar una solución al respecto.


Temas relacionados

US-CERT
Multiple DNS implementations vulnerable to cache poisoning (artículo en inglés):
http://www.us-cert.gov/cas/techalerts/TA08-190B.html

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

El grave fallo de seguridad fue descubierto por casualidad

Mensaje por Gaillimh el Jue Jul 17, 2008 2:03 pm

El grave fallo de seguridad fue descubierto por casualidad

Dan Kaminsky reconoce que encontró la vulnerabilidad que ha logrado unir a los gigantes informáticos "por accidente"

AFP - San Francisco - 14/07/2008
EL PAIS.com, http://www.elpais.com/articulo/internet/grave/fallo/seguridad/fue/descubierto/casualidad/elpeputec/20080714elpepunet_1/Tes

Su nombre es Dan Kaminsky y pasará a la historia como el hombre que encontró uno de los mayores fallos de seguridad de la Red y unió a los gigantes del sector para combatir dicha vulnerabilidad. El especialista en seguridad Dan Kaminsky, de IO Active, descubrió hace seis meses este fallo sobre el Domain Name System (DNS) y apeló entonces a los grandes grupos de Internet, como Microsoft, Sun y Cisco, para buscar una solución en conjunto. La solución llegó el pasado martes cuando se difundió un parche para poner remedio tras seis meses de reuniones y trabajo en secreto.

El DNS es usado por todos los ordenadores que se conectan a Internet y funciona de forma similar a un sistema telefónico, relacionando las llamadas a los números correctos, en este caso la dirección numérica de los sitios web. "La gente debe preocuparse, pero no debería cundir el pánico", advierte Kaminsky quien destaca que han probado a conciencia el parche. Además el especialista ha creado una página, www.doxpara.com, donde las personas pueden descubrir si sus ordenadores tienen esta vulnerabilidad.

Kaminsky fue uno de los 16 investigadores de todo el mundo que se reunieron en marzo en el campus de Microsoft, en Redmond, Washington, para ver qué hacer con el fallo: "Lo descubrí absolutamente por accidente", asegura Kaminsky. "Estaba mirando algo que no tenía nada que ver con seguridad. Este tema afectaba no sólo a Microsoft y Cisco, sino a todos".

"Esto no tiene antecedentes y es una tarea enorme", insiste Kaminsky quien ha destacado la estrecha colaboración de las empresas del sector: "Mucha gente realmente se involucró y mostró cómo la colaboración puede proteger a los clientes", añadió.

Las actualizaciones automáticas deberían proteger a la mayoría de los ordenadores personales. Microsoft divulgó el pasado martes la solución en un paquete de actualización y se está trabajando para asegurarse de que los proveedores de servicio a Internet tengan sus servidores blindados contra ataques de este tipo.

"Tendríamos Internet, pero no el que queremos"

Los principales programadores y fabricantes informáticos del mundo que han trabajado en secreto consideran que el error podría propiciar un cambio en Internet de no solucionarse: "Es un tema fundamental, donde está en juego cómo funciona todo el esquema de direcciones de internet", asegura Rich Mogul, analista de Securosis, tras una rueda de prensa donde atendió a los medios de comunicación.

Si no se solucionara, "tendríamos Internet, pero no sería el Internet que queremos porque -los piratas- controlarían todo", asegura mientras explica la vulnerabilidad. El fallo ayudaría a los estafadores que usan el phishing, que implica conducir a las personas a páginas falsas, imitación de las originales, de empresas como bancos o compañías de tarjetas de crédito, para llevarlos a revelar sus números de cuenta, contraseñas u otro tipo de información confidencial. Los piratas podrían usar esta vulnerabilidad para dirigir a los usuarios a donde quieran, sin importar qué dirección de Internet tecleen.

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Liberan detalles del problema con los DNS

Mensaje por Gaillimh el Miér Jul 23, 2008 11:31 am

VSantivirus No 2766 Año 11, miércoles 23 de julio de 2008
_____________________________________________________________

Liberan detalles del problema con los DNS
_____________________________________________________________

http://www.vsantivirus.com/23-07-08.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Un grave problema en el sistema de nombres de dominio (DNS),
fue solucionado hace unas semanas en forma secreta, pero no
se dieron detalles del fallo, a los efectos de dar tiempo a
que los responsables apliquen los correspondientes parches.
Pero estos detalles ya son públicos, y la seguridad de
Internet está ahora en discusión.

Los investigadores que detectaron el problema y avisaron a
las empresas y fabricantes, actuaron de manera responsable y
coordinada, para que la vulnerabilidad fuera solucionada
antes que la misma empezara a ser utilizada por piratas
informáticos.

Alguien, en una actitud para muchos irresponsable, divulgó
ahora información del fallo. Halvar Flake, investigador con
bastante talento para la ingeniería inversa, especuló en su
blog con los detalles de un ataque. El asegura que la gente
está mejor, mientras más información tenga.

Pronto, otros extendieron esa investigación, ahondando más en
los detalles. Aunque, según comentarios, más tarde
"advirtieron estar dando información demasiada peligrosa", y
resolvieron quitar estas entradas de su blog, ya era
demasiado tarde. La información se había esparcido.

El problema es que este fallo afecta tanto a usuarios como
servidores. Por ejemplo, los parches de Microsoft de este
mes, tenían una actualización para corregir la
vulnerabilidad.

Pero muchos proveedores de Internet, aún no han actualizado
el software de sus servidores de dominio, y por lo tanto, sus
usuarios podrían ser víctimas de un ataque.

En la página del investigador Dan Kaminsky, el primero que
encontró y reportó el problema, hay un test que nos permite
saber si nuestro proveedor ha aplicado el parche. Seguro
muchos nos llevaremos una sorpresa si hacemos la prueba (ver
en "Referencias").

Básicamente, la explotación del fallo puede permitir a un
usuario malintencionado, redirigir cualquier nombre de
dominio a una web falsa. La importancia aquí está en recalcar
lo de "cualquier nombre de dominio". O sea, cualquiera podría
caer en el engaño, y cualquier página legítima podría no
serlo.


* Referencias:

Enlace para prueba de servidores DNS (DNS Checker)
http://www.doxpara.com/?page_id=1159

Proveedores de Internet solucionan fallo en secreto
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1032

Boletines de julio, importantes pero no críticos
http://www.vsantivirus.com/ms08-jul.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Los detalles de la vulnerabilidad en el protocolo DNS, descubiertos

Mensaje por Gaillimh el Miér Jul 23, 2008 3:27 pm

Hispasec - una-al-día 22/07/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Los detalles de la vulnerabilidad en el protocolo DNS, descubiertos
-------------------------------------------------------------------

Desde el 8 de julio se está produciendo uno de los episodios más
curiosos vividos nunca en la red. Se publicó ese día una actualización
masiva para la mayoría de los dispositivos en Internet que utilizan DNS.
Se dijo que había sido descubierta una vulnerabilidad que permitía
falsificar las respuestas DNS, y por tanto redireccionar el tráfico.
Casi todos los grandes y pequeños fabricantes y programadores
actualizaron sus sistemas y se intentó mantener los detalles técnicos
de la vulnerabilidad ocultos, por la gravedad y el potencial impacto
que podría suponer. Finalmente, dos semanas después, se conocen los
detalles.

Toda vulnerabilidad es importante y tiene un potencial impacto en la
red. Sin embargo, cuando hablamos de la resolución de nombres y de
problemas en los servidores DNS, la gravedad se multiplica porque se
supone que los servidores DNS sustentan la red. Dan Kaminsky había
descubierto un fallo de base en el protocolo que permitía a cualquiera
falsificar las respuestas de un servidor. No era problema de ningún
fabricante sino de casi todos, un fallo de diseño de un estándar usado
en todo Internet. En un importante esfuerzo de coordinación todos los
grandes fabricantes están publicado sus actualizaciones desde el día
8 de julio.

Pero Dan Kaminsky no daba detalles sobre el asunto. Era demasiado grave
y pensaba que sería irresponsable proporcionar esa información sin dar
suficiente tiempo a todos los administradores para actualizar. Del
parche no se podía deducir el problema puesto que simplemente añadía
aleatoriedad y entropía a ciertos valores que desde hace mucho se sabía
que no eran la mejor solución para asegurar el protocolo. Es por esto
que se apostaba desde un principio por que la vulnerabilidad de Kaminsky
se tratara en realidad de una nueva forma más eficaz de engañar a los
servidores DNS para que den respuestas falsas, gracias a un fallo
inherente del protocolo (y así ha sido).

Kaminsky daría los detalles un mes después, en la conferencia Black Hat
de agosto. Por una parte, el descubridor estaba siendo responsable
(dando tiempo a los administradores) pero tremendamente mediático por
otra (creando una expectación exagerada en torno a la conferencia).
Todo esto, ayudado por la desinformación de los medios generalistas
ha ayudado a que la desconfianza siguiese creciendo. Todos defendían
su teoría: desde el escéptico hasta el que hablaba de la debacle de la
Red. Sólo un grupo de personas concretas conocía los detalles técnicos,
y tenían instrucciones de no revelarlos y de evitar las especulaciones
públicas. Kaminsky pretendía así ingenuamente asegurarse que sólo él
daría los detalles cuando lo tenía planeado, cumpliendo así la segunda
parte de su plan una vez publicadas las actualizaciones. Imposible...
poco después las listas estaban llenas de comentarios y elucubraciones.

Afortunadamente en la seguridad informática siempre hay alguien que
va más allá. Thomas Dullien, el CEO de la compañía Zynamics (también
conocido como Halvar Flake) se aventuró a publicar en su blog su
particular visión de lo que podía ser el problema descubierto por
Kaminsky, sin tener conocimiento previo de los detalles. Y no se
equivocó en su teoría. La insinuación de que estaba en lo cierto vino
desde varios frentes (entre ellos desde un post en Twitter del propio
Kaminsky), pero lo confirmó totalmente una entrada del lunes pasado en
el blog de Thomas Ptacek, director la compañía Matasano que era de los
que conocía los detalles reales. La entrada estaba firmada por un/a tal
"ecopeland" del equipo de Ptacek. Según linkedin.com existe un/a Erin
Ptacek (Copeland), desarrollador/a de software en Matasano (¿familiar
del director?). En el post se daba la razón a Dullien, junto con todo
lujo de detalles sobre el fallo que Dullien había 'redescubierto'. La
explicación fue retirada poco después (actualmente está disponible a
través de la caché de Google). Ptacek se ha disculpado públicamente,
probablemente se dejó llevar por su ánimo de compartir la información.
Demasiado tarde... ya circula libremente por Internet.

Los detalles técnicos pueden ser encontrados en el apartado de más
información. No tardarán en aparecer exploits. Ahora la gravedad del
problema se multiplica. Afortunadamente casi todos los fabricantes han
publicado ya un parche.

Aunque se conocía el problema desde enero, Kaminsky trabajó intensamente
con los grandes fabricantes para mantenerlo en secreto y coordinar la
aparición de parches un día concreto (que tuvo que coincidir con el día
de actualización de Microsoft). Esto resulta extremadamente complicado,
y hay que reconocer que ha debido resultar un trabajo complejo el
coordinar y mantener la discreción sobre un tema tan delicado. Un
esfuerzo elogiable. Sin embargo desde que se anunció la existencia del
problema, sólo se han necesitado dos semanas para que sea desvelado,
frustrando el plan de Kaminsky de aguantar un mes hasta la Black Hat
para revelar los detalles.

Son muchas las moralejas y conclusiones que se pueden extraer de este
incidente. De nuevo el debate sobre la revelación responsable de
vulnerabilidades, la fuerza del ego de muchos investigadores, la
demostración de que un esfuerzo coordinado para una actualización masiva
ante un problema común es posible... pero sobre todo llama la atención
la capacidad de Thomas Dullien de redescubrir un problema que siempre
habría estado ahí, pero que no se había planteado buscar hasta que
alguien apuntó que existía. Dullien contaba con las bases (el protocolo
DNS sufre de problemas inherentes conocidos) sólo había que mover las
piezas para encontrar lo que podía ser el fallo que otro decía ya saber.
Y acertó. Una de las mejores formas de captar el interés de un asunto,
(aunque siempre haya estado ante nuestras narices y creamos conocerlo)
es afirmar que oculta un secreto.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3559/comentar

Más información:

Kerfuffle erupts as DNS flaw described
http://www.securityfocus.com/brief/779

Reliable DNS Forgery in 2008
http://amd.co.at/dns.htm

On Dan's request for "no speculation please"
http://addxorrol.blogspot.com/2008/07/on-dans-request-for-no-speculation.html

Regarding The Post On Chargen Earlier Today
http://www.matasano.com/log/1105/regarding-the-post-on-chargen-earlier-today/


Sergio de los Santos
ssantos@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Fallo secreto en DNS está más expuesto que antes

Mensaje por Gaillimh el Vie Jul 25, 2008 1:23 pm

Fallo secreto en DNS está más expuesto que antes 23-07-2008
El agujero de seguridad en el sistema de nombres de dominio se ha vuelto más comprometido con la liberación de algunos datos. Esto podría ayudar a los criminales a deducirlo, y eventualmente explotarlo.

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1038

El sistema de nombres de dominio, DNS son sus siglas en inglés (Domain Name System en inglés), interpreta los nombres en las direcciones Internet y las transforma en números que el protocolo IP utiliza para encontrar el servidor correspondiente.

En un artículo anterior alertábamos sobre este fallo descubierto en los DNS, y que había sido solucionado por la mayoría de los proveedores de Internet en forma discreta para evitar su explotación maliciosa.

El descubridor de este agujero de seguridad, Dan Kaminsky, trabajó en conjunto con las empresas para desarrollar una solución, y planeaba divulgar más información el mes siguiente, en una conferencia de informática en Las Vegas, dando un tiempo prudencial a quienes no lo hayan resuelto.

Sin embargo otro investigador, Halvar Flake, opina lo contrario y así lo ha publicado en su blog. Básicamente considera que, le llevaría un cierto tiempo a un técnico de seguridad con pocos conocimientos de DNS, descubrir y resolver el problema. A un criminal le tomaría lo mismo.

Varias personas en la comunidad de expertos no han visto con buenos ojos el hecho de que Flake publicara esas teorías en su blog. Ellos consideran que esto puede llevar a cualquier criminal ha realizar pruebas y descubrir el fallo de seguridad y explotarlo. A partir de esta información otros blogs publicaron datos más específicos, y aunque los mismos fueron borrados posteriormente, el daño ya estaba hecho.

Aunque quienes deben solucionarlo son los proveedores de Internet, los usuarios también se encuentran afectados debido a que serán las víctimas de quienes se aprovechen del mismo con fines maliciosos.

En la página de Kaminsky, se puede encontrar un test para verificar si el proveedor de Internet que usted está utilizando en su conexión actual, es vulnerable.

Por el momento se desconoce si el agujero de seguridad se encuentra explotado por atacantes.

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Apple, último en publicar parche para la grave vulnerabilidad DNS

Mensaje por Gaillimh el Sáb Ago 02, 2008 11:01 am

Hispasec - una-al-día 01/08/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Apple, último en publicar parche para la grave vulnerabilidad DNS
-----------------------------------------------------------------

Apple ha sido el último gran fabricante en publicar un parche para la
grave vulnerabilidad en el protocolo DNS descubierta recientemente por
Kaminsky. Todos los grandes (Microsoft, Cisco, BIND...) sacaron el 8
de julio una solución coordinada a un problema que se había mantenido
en secreto desde principios de año. Pero Apple no. Dejó a los usuarios
de Mac OS X sin solución hasta casi tres semanas después, en un
incomprensible movimiento que sigue arrojando serias dudas sobre
la capacidad de gestión de seguridad de Apple.

Apple ha publicado un parche acumulativo de seguridad que soluciona 17
fallos. Es el quinto de este año y por fin, contiene el parche (o más
bien implementa la contramedida oficial) para sus DNS. El 8 de julio se
publicó una actualización masiva para la mayoría de los dispositivos en
Internet que utilizan DNS. Se ha descubierto una vulnerabilidad que
permite falsificar las respuestas DNS, y por tanto redireccionar el
tráfico. Casi todos los grandes y pequeños fabricantes y programadores
actualizaron sus sistemas. Finalmente, dos semanas después, se
conocerían los detalles. Varios exploits no han tardado en aparecer.
Apple no parcheó, y ha necesitado tres semanas más que cualquier otro
para hacerlo. No es la única, la mayoría de los grandes ISP que ofrecen
conexión a Internet siguen sin solucionar el problema en sus servidores
públicos.

Y no han tenido solo tres semanas. Apple está al tanto del problema
desde hace meses, al igual que otros grandes fabricantes que sí han
publicado puntualmente el parche a principios de julio. Son muchas las
"pruebas" de seguridad a las que se ha sometido a la compañía. Cuando
en enero de 2007 Apple sufrió la moda de "el mes de los fallos en"
se descubrieron 31 errores que tardaron bastantes semanas en ser
solucionados. En el CanSecWest de 2008, Mac OS X fue el primer sistema
operativo en el concurso en que se evaluaba qué sistema podía ser
comprometido más rápidamente... Cada dos meses aproximadamente,
soluciona decenas de vulnerabilidades en un bloque... a principios
de 2008 parcheó más de 90 en un solo paquete. En el caso de la
vulnerabilidad compartida entre Safari y Microsoft de junio de este año,
tardó en reconocer que el comportamiento de su navegador era peligroso.
Estos no son ejemplos que certifiquen que Apple es inseguro, ni mucho
menos. Sólo recuerdan que Apple no es ninguna excepción en el mundo de
los sistemas operativos y que sufre de problemas de seguridad (como todo
software) que deben ser corregidos a través de una política seria y
acorde al nivel de la compañía.

Apple no tiene un parque de servidores especialmente numeroso, pero eso
no es excusa para no proporcionar soluciones a sus clientes. Mac OS X
está sufriendo importantes problemas de seguridad últimamente, que
son solucionados con mastodónticos parches que se publican de forma
periódica, pero no siempre a tiempo. La fama de la empresa en cuestión
de seguridad queda en entredicho. Hasta ahora no ha sido objetivo
preferente de la industria del malware, pero ya se han observado varias
campañas específicamente diseñadas para este sistema operativo que hacen
pensar que podrían tenerlo en cuenta en cuestión de tiempo.

Apple arrastra a una legión de seguidores que deben comprender que
ni Mac OS X (ni ningún otro sistema operativo) es infalible, y que
proporcionar parches de seguridad a tiempo es una obligación de los
fabricantes. Deben gestionar la seguridad de una manera más eficiente,
porque si Apple consigue llamar la atención de los atacantes, puede
que no esté preparada para recibir un potencial embiste. Sólo hay que
fijarse en el ejemplo más significativo: Microsoft no tuvo en cuenta
la seguridad durante mucho tiempo. En 2002 se propuso solucionar esta
carencia y priorizó la seguridad en todos sus productos. Todavía hoy
se está resintiendo de ese retraso y aunque con grandes avances, la fama
de inseguro y muchos sistemas heredados vulnerables en producción les
persigue. ¿Caerá Apple en el mismo error?

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3569/comentar

Más información:

22/02/2006 Manzanas y gusanos
http://www.hispasec.com/unaaldia/2678

20/03/2008 Apple Mac OS X soluciona más de 90 vulnerabilidades en su último paquete
http://www.hispasec.com/unaaldia/3435

22/11/2007 El malware en forma de supuesto codec parece "consolidadarse" contra usuarios de Mac
http://www.hispasec.com/unaaldia/3316

19/07/2007 Un investigador anónimo dice haber programado un gusano para Apple
http://www.hispasec.com/unaaldia/3190

26/11/2006 Se descubre adware para Mac que se instala sin necesidad de privilegios
http://www.hispasec.com/unaaldia/2955

01/02/2007 Termina el mes de los fallos en Apple
http://www.hispasec.com/unaaldia/3022

04/06/2008 Ejecución remota de código por medio de Safari en Windows Vista y XP
http://www.hispasec.com/unaaldia/3511


Sergio de los Santos
ssantos@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Parche Apple para vulnerabilidad DNS, no funciona

Mensaje por Gaillimh el Dom Ago 03, 2008 3:59 pm

Parche Apple para vulnerabilidad DNS, no funciona
Fuente: http://www.theinquirer.es/2008/08/02/parche-apple-para-vulnerabilidad-dns-no-funciona.html
por : Jesús Maturana: 02 Ago 2008, 17:44

Apple ha lanzado un parche de seguridad que promete arreglar una vulnerabilidad DNS descubierta recientemente por Dan Kaminsky. Dicha grieta de seguridad deja a los equipos Apple vulnerables ante ataques del tiempo DNS spoofing que pueden redirigir a los usuarios a sitios web de phising o malware. El parche parece no arreglar el problema.

Kaminsky revelará más datos de la vulnerabilidad en la conferencia de seguridad informática Black Hat que se celebrará la semana que viene en Las Vegas.

Antes de anunciar su descubrimiento, Kaminsky trabajó con empresas de seguridad para ayudarles a parchear sus sistemas. Muchas compañías hicieron lo equivalente incluyendo a Cisco y Microsoft que ya tienen parcheados sus servidores. Muchas distribuciones de Linux también han lanzado un parche para arreglar la vulnerabilidad. Parece que la única gran ausente fue la empresa de Cuppertino.

Los equipos de sobremesa son vulnerables porque hacen caché de las peticiones DNS desde los servidores. Apple lanzó ayer un parche contenido en una actualización de seguridad que prometía arreglar el problema pero según el SANS Institute, los equipos que han parcheado la versión Mac OS x 10.5 son todavía vulnerables a dicho problema.

vINQulos:
TGDaily: http://www.tgdaily.com/content/view/38699/108/

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

US-CERT: Understanding Internationalized Domain Names

Mensaje por Gaillimh el Jue Ago 07, 2008 9:47 am

(artículo en inglés, al que le interese la traducción que me la pida)

Cyber Security Tip ST05-016
Understanding Internationalized Domain Names

You may have been exposed to internationalized domain names (IDNs)
without realizing it. While they typically do not affect your browsing
activity, IDNs may give attackers an opportunity to redirect you to a
malicious web page.

What are internationalized domain names?

To decrease the amount of confusion surrounding different languages,
there is a standard for domain names within web browsers. Domain names
are included in the URL (or web address) of web site. This standard is
based on the Roman alphabet (which is used by the English language),
and computers convert the various letters into numerical equivalents.
This code is known as ASCII (American Standard Code for Information
Interchange). However, other languages include characters that do not
translate into this code, which is why internationalized domain names
were introduced.

To compensate for languages that incorporate special characters (such
as Spanish, French or German) or rely completely on character
representation (such as Asian or Arabic languages), a new system had
to be developed. In this new system, the base URL (which is usually
the address for the home page) is dissected and converted into a
format that is compatible with ASCII. The resulting URL (which
contains the string "xn--" as well as a combination of letters and
numbers) will appear in your browser's status bar. In newer versions
of many browsers, it will also appear in the address bar.

What are some security concerns?

Attackers may be able to take advantage of internationalized domain
names to initiate phishing attacks (see Avoiding Social Engineering
and Phishing Attacks for more information). Because there are certain
characters that may appear to be the same but have different ASCII
codes (for example, the Cyrillic "a" and the Latin "a"), an attacker
may be able to "spoof" a web page URL. Instead of going to a
legitimate site, you may be directed to a malicious site, which could
look identical to the real one. If you submit personal or financial
information while on the malicious site, the attacker could collect
that information and then use and/or sell it.

How can you protect yourself?

* Type a URL instead of following a link - Typing a URL into a
browser rather than clicking a link within a web page or email
message will minimize your risk. By doing this, you are more
likely to visit the legitimate site rather than a malicious site
that substitutes similar-looking characters.
* Keep your browser up to date - Older versions of browsers made it
easier for attackers to spoof URLs, but most newer browsers
incorporate certain protections. Instead of displaying the URL
that you "think" you are visiting, most browsers now display the
converted URL with the "xn--" string.
* Check your browser's status bar - If you move your mouse over a
link on a web page, the status bar of your browser will usually
display the URL that the link references. If you see a URL that
has an unexpected domain name (such as one with the "xn--" string
mentioned above), you have likely encountered an internationalized
domain name. If you were not expecting an internationalized domain
name or know that the legitimate site should not need one, you may
want to reconsider visiting the site. Browsers such as Mozilla and
Firefox include an option in their security settings about whether
to allow the status bar text to be modified. To prevent attackers
from taking advantage of JavaScript to make it appear that you are
on a legitimate site, you may want to make sure this option is not
enabled.
_________________________________________________________________

Authors: Mindi McDowell, Will Dormann, Jason McCormick
_________________________________________________________________

Produced 2005 by US-CERT, a government organization.

Note: This tip was previously published and is being re-distributed
to increase awareness.

Terms of use

http://www.us-cert.gov/legal.html

This document can also be found at

http://www.us-cert.gov/cas/tips/ST05-016.html

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Vuelta a empezar: el parche para DNS no resuelve el problema

Mensaje por Gaillimh el Lun Ago 11, 2008 11:50 am

Vuelta a empezar: el parche para DNS no resuelve el problema
Fuente: http://www.kriptopolis.org/el-pache-dns-no-resuelve-el-problema

Era sabido que el parcheo de los servidores DNS frente a la vulnerabilidad presentada por Kaminsky representaba sólo un alivio temporal, pero nadie sospechó que durará tan poco.

Hoy mismo, Evgeniy Polyakov se ha encargado de demostrar (exploit incluido) cómo un servidor DNS corriendo BIND con la última versión perfectamente parcheada continúa siendo vulnerable al envenenamiento de la caché.

El propio Polyakov se encarga de desmentir que se trate de una vulnerabilidad exclusiva de BIND, sino que todo el sistema DNS, aún parcheado, continúa siendo vulnerable, sólo que ahora se requiere un poco más de tiempo... que quizás incluso pudiera acortarse mediante un ataque distribuido.

Para Polyakov tampoco DNSSEC supone ninguna solución definitiva, aunque sí otro alivio temporal más duradero. Sin embargo otros expertos (como Bernstein) opinan que su seguridad es sorprendentemente baja y su funcionamiento mucho más lento y pesado. Polyakov contraataca diciendo que el sistema DJBDNS, ideado por Berstein, también es vulnerable...



Referencias:

* Successfully poisoned the latest BIND with fully randomized ports! [Blog de Evgeniy Polyakov]:
http://tservice.net.ru/~s0mbre/blog/devel/networking/dns/2008_08_08.html
* Leaks in Patch for Web Security Hole [The New York Times]:
http://www.nytimes.com/2008/08/09/technology/09flaw.html
* Seguimiento completo de la vulnerabilidad en DNS:
http://www.kriptopolis.org/search/node/vulnerabilidad+DNS

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Re: Masiva actualización coordinada de servidores DNS

Mensaje por Contenido patrocinado Hoy a las 3:44 am


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.