[GTER] Vulnerabilidade DNS - Dan Kaminsky

Ricardo Rodrigues rcr.listas at ig.com.br
Wed Dec 3 15:10:40 -02 2008


Welkson,

Bem lembrado. Reportagem de 08/agosto do NY Times informa que a versão
mais atual do BIND foi infectada em menos de 10 horas
(http://www.nytimes.com/2008/08/09/technology/09flaw.html). O próprio
Dan Kaminsky disse que a randomização de portas, por si só, não é
suficiente para garantir segurança. Prova disso é que a própria AT&T
foi infectada.

O Fred fez uma apresentação sobre DNSSEC no último GTS. A apresentação
está disponível aqui:
http://gter.nic.br/reunioes/gter-26/programa .

O NIC.br tem feito um excelente trabalho para divulgação e implantação
do DNSSEC no Brasil, estando à frente de vários outros países.

Acredito que os principais desafios para adoção do DNSSEC sejam:

1. Aumento da carga de processamento dos servidores DNS, requerendo
expansão do HW existente (ou uso de SW com melhor escalabilidade)

2. Mudança do 'modus-operandi' de administração dos servidores DNS
Cache e Autoritativos, devido principalmente à necessidade de
atualizações das chaves de segurança. Se um administrador não ficar
atento aos novos procedimentos, seu domínio pode ficar "no escuro".

Ou seja, não se implanta DNSSEC de um dia pro outro. Se tudo der
certo, ainda vai demorar alguns anos. Até lá, é importante usar
software DNS Cache que implemente técnicas adicionais de segurança
(USPR é apenas um patch intermediário, como dito pelo próprio Dan
Kaminsky em seu blog - http://www.doxpara.com/?p=1237) e também usar
DNS Autoritativo com baixa latência (isso reduz a janela de tempo para
realização de um ataque a seu domínio em um DNS Cache vulnerável).

Abraços,
Ricardo

2008/12/3 Welkson Renny de Medeiros <welkson at focusautomacao.com.br>:
> Senhores,
>
> Lembro que o pessoal lançou uns patchs (portas randômicas), mesmo assim o
> ataque conseguia ser executado (demorava horas, mas conseguia).
>
> Como tá a situação atual? algum novo patch? vai ter alguma mudança "radical"
> no protocolo? ou vão todos implantar DNSSEC?
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
>
>
>
>                     Powered by ....
>
>                                          (__)
>                                       \\\'',)
>                                         \/  \ ^
>                                         .\._/_)
>
>                                     www.FreeBSD.org
>
> ----- Original Message ----- From: "Ricardo Rodrigues"
> <rcr.listas at ig.com.br>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Sent: Tuesday, December 02, 2008 1:24 PM
> Subject: [GTER] Vulnerabilidade DNS - Dan Kaminsky
>
>
> Caros,
>
> A Wired publicou matéria sobre os bastidores da descoberta da
> vulnerabilidade DNS pelo Dan Kaminsky. O link é:
> http://www.wired.com/techbiz/people/magazine/16-12/ff_kaminsky
>
> Abs,
> Ricardo
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list