Proponha uma correção, faça uma sugestão
E o seu servidor de DNS, é seguro?
Foi a 8 de Julho que grandes crânios da Microsoft, Cisco Systems e Sun Microsystems se reuniram para tentar corrigir e melhorar o actual DNS. Desde 1990 que se conhecem falhas no sistema que traduz nomes de domínios para endereços de IP, mas uma particular, descoberta há cerca de seis meses, coloca nas mãos de cracker's a segurança dos utilizadores.
Em Março, Dan Kaminsky, um informático de Seattle, de 29 anos, sabia que tinha encontrado uma das mais graves falhas do Domain Name System. Ciente de que as informações que possuía não podiam cair em mãos erradas, colaborou secretamente com fabricantes e entidades reguladoras, incluindo o CERT, para corrigir o problema. Hoje, todas as três empresas referidas, lançaram já pacthes que podem ser utilizados com esse intuito.
Mas afinal de que falamos? O possível ataque tem o nome de DNS Cache Poisoning e permite a utilizadores mal intencionados substituir informações nos servidores de DNS. Devido ao enorme volume de dados que passa diariamente por este sistema, os servidores recorrem a um método que coloca em cache correspondências utilizadas em pedidos anteriores.
Geralmente, um utilizador ligado à Internet tem como servidor de DNS, um servidor oferecido pelo seu ISP. Se eu no meu browser pretender visitar o endereço https://pplware.sapo.pt é enviado um pedido a este servidor que o traduz num endereço de IP, neste caso, 77.91.202.118, que o computador precisa para me levar até lá. Durante algum tempo este endereço ficará em cache no DNS e todos os clientes do meu ISP que pretenderem visitar o Peopleware receberão o mesmo IP. É por esta mesma razão que certos utilizadores não conseguem visitar certos portais que mudaram recentemente de alojamento: o endereço anterior ainda está em cache no DNS.
Assim sendo, já deve ter percebido como funciona o DNS Cache Poisoning. Um utilizador aproveita-se da falha descoberta por Dan Kaminsky e envia para o servidor informações incorrectas. Se o servidor estiver correctamente configurado e com os últimos patches de segurança, irá verificar com um authoritative name server (servidores que não colocam endereços em cache). Caso contrário o servidor continuará a distribuir o IP incorrecto fazendo com que o utilizador seja enviado para páginas falsas, por exemplo de bancos, criadas pelo mesmo cracker.
Como sei se o servidor de DNS que utilizo é seguro? No seu site, Dan Kaminsky disponibiliza uma pequena ferramenta que irá automaticamente verificar isso mesmo. Ao que conseguimos apurar, em Portugal, pelo menos a ZON Netcabo, ZON Madeira, AR Telecom e Kanguru ainda não corrigiram estes problemas. No estrangeiro a conhecida AT&T e vários outros ISP's dos Estados Unidos estão na mesma situação.
Se está verdadeiramente preocupado com a sua segurança recomenda-se o uso do OpenDNS. A 6 de Agosto, numa conferência em Las Vegas, a DEFCON, Dan Kaminsky irá finalmente revelar detalhes técnicos sobre a sua descoberta. Como ele diz, quando se corrige algo, anuncia-se que algo está mal. Estima-se que até ao momento, apenas 0.4% dos ataques realizados utilizaram este método.
Mais Informações: Resumo Executivo
Homepage: DoxPara Research
Este artigo tem mais de um ano
Loading ...
Eu uso o OpenDNS e recomendo!!
A telepac deu-me como “safe” à noite experimento a cabovisão.
O servidor DNS da cabovisão deu como resultado safe.
Netcabo:
Your name server, at 212.113.161.227, appears vulnerable to DNS Cache Poisoning.
:/
ARtelecom appears vulnerable do DNS Cache Poisoning…
A cabovisão está dada como safe!
Como trabalho num ISP (em nenhum desses referidos neste post), e como responsável pela infra-estrutura de rede, esse problema do Cache Poisoning já passou pelas minhas mãos. Todos os DNS da minha responsabilidade estão devidamente seguros, tal como comprova o teste que também fiz nesta página.
A solução para resolver o Cache Poisoning é muito simples, basta retirar a recursividade dos servidores de DNS. Sem recursividade, não há cache, logo não pode haver poisoning. Nem sempre é a melhor solução porque leva a outras implicações no desenho da arquitectura de DNS, daí que tem que se pesar muito bem os prós e os contras de usar recursividade.
Sou cliente da Netcabo e por curiosidade fiz o teste. Pelos vistos a Netcabo não corrigiu de facto o problema. Por curiosidade aqui vai o resultado. Se o Ricardo Ferreira se quiser pronunciar…
========================
Your name server, at 212.113.164.26, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 32772
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 6dcddbd8e40e.toorrr.com:
212.113.164.26:32772 TXID=33508
212.113.164.26:32772 TXID=8601
212.113.164.26:32772 TXID=18737
212.113.164.26:32772 TXID=3667
212.113.164.26:32772 TXID=9760
@mjmft
“pelo menos a ZON Netcabo, ZON Madeira, AR Telecom e Kanguru ainda não corrigiram estes problemas”
Se eles não corrigiram ainda o problema é natural que obtenhas esses resultados…
A cabovisão diz “SAFE” desde que isto foi divulgado… Devem ter actualizado logo os servidores!
Eu uso o OpenDNS e os motivos que me levaram a utilizar estes servidores de DNS foi a rapidez que eles proporcionam. Ainda mais, eles são mais seguros, não sendo vulneráveis a esta ameaça.
Com a clix não parece haver problemas.
@Gonçalo O.
Não me digas que trabalhas na Clix, trabalhas?
Em caso afirmativo, tenho uma questão para ti.
com o MEO não resolveu esse problema.
Que há/houve uma vulnerabilidade no DNS é certo.
O update de segurança da Microsoft KB 953230, para windows, disponibilizado a 8 de Julho, diz isso
http://www.microsoft.com/protect/computer/updates/bulletins/200807.mspx
A BBC na notícia sobre a entrevista ao tal Dan Kaminsky relaciona esse update de segurança com a vulnerabilidade por ele detectada.
… se quiserem ver a noticia da BBC
http://news.bbc.co.uk/2/hi/technology/7496735.stm
P.S. Estou a usar o Kanguru e tanbém tive uma mensagem pareceida com a referida no comentário 7: “Your name server, at (…), appears vulnerable to DNS Cache Poisoning”.
@Anónimo #3
Não trabalho no clix, mas como estou dentro do mundo dos operadores e ISPs, podes colocar a questão na mesma. Se eu souber responder, terei muito gosto.
O que é que de pior pode acontecer numa distribuição Linux?
o cracker não poderá entrar no sistema.. a shell não deixa =\ I mean, até agora está tudo bem, nunca aconteceu nada de mal =D não seria hoje…
talvez o que o cracker possa fazer é ‘mind controll’ no pessoal que visitar os fake sites =/
$ sudo apt-get me a bear
LOOOL
Super Cow Powers !
UBUNTU POWER !
~agora estou no Linux Mint, é giro, por acaso até tou a gostar 😀
Tenho lido muitas noticias a cerca da segurança e confiabilidade do OpenDNS, tento me manter atualizados sobre segurança na rede e já estou a ficar preocupado. Como fazer para passar a usar os recursos do OpenDNS, em meu pais (Brasil) este é fornecido quando contratamos os serviços de uma operadora. Então como fazer para mudar.
Parabéns aos mantenedores deste blog, tenho lido o mesmo e acho boas relevantes e confiavél as informações postas aqui.
Vodafone ADSL parece ter o problema resolvido:
Your name server, at 83.174.45.161, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.
——————————————————————————–
Requests seen for fc110fda99df.toorrr.com:
83.174.45.161:18357 TXID=33049
83.174.45.161:1742 TXID=47351
83.174.45.161:19625 TXID=51
83.174.45.161:23603 TXID=42835
83.174.45.161:21363 TXID=11584
Oh Penguin Community,
Diz lá ao mundo o que raio tem o teu comentario a ver com o que aqui se fala?
Já agora traduz o que escreveste nessa mistela de “ious” com ingles e portugues.
Ou so querias mostrar ao mundo que és um guru do Ubuntu mas naquela fase verdinha como tudo. Pá aqui discutia-se Domain Name Servers!
Já agora alguem notou que os servidores da Telepac andam lentinhos como tudo? O OpenDns não é la muito rápido tambem.
Offtopic:
@ Penguin Community
“$ sudo apt-get me a bear”
Queres um urso para quê? xD
——————————————–/Offtopic————————————————
De acordo com o que o site diz, com a Sapo também está tudo bem.
Lolada Bear não é no sentido de querer um urso é no sentido de querer uma cerveja.
sudo apt-get install security update_to_brain_damage
Obtive isto:
Your name server, at 193.36.79.101, may be safe, but the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 379.
Please talk to your firewall or gateway vendor — all are working on patches, mitigations, and workarounds.
Requests seen for b94c1d94ef22.doxdns5.com:
193.36.79.101:11776 TXID=25852
193.36.79.101:11860 TXID=52763
193.36.79.101:11963 TXID=34146 (este estava riscado por cima)
193.36.79.101:12064 TXID=41449
193.36.79.101:12155 TXID=61633
Alguém que perceba alguma coisa (que eu não percebo muito disto) me pode traduzir o que realmente significa?? hehe
Thanks 🙂
Porque é que usam sempre subdominios do site a atacar? e nao outro site qualquer.
existe alguma razao para isso?