428meneos
Envenenando los DNS de Telefónica
Los chicos de bandaancha.st han conseguido, mediante uno de los nuevos exploits de DNS, inyectar información falsa a uno de los servidores DNS de telefonica. Es urgente que todos los que estamos con telefonica usemos openDNS o mas de uno va a tener un disgusto.
votos negativos: 2 usuarios: 195 anónimos: 233
menéame
- condiciones legales
- quiénes somos
- licencias: código, gráficos, contenido
- descargar
- alojamiento en Ferca Network
Repito, es MUY importante migrar a OpenDNS tal y como se recomienda.
#0 #2 Lo de usar OpenDNS no lo encuentro en en la noticia. ¿Es opinión?
En el artículo no dice que lo hayan conseguido :P
DNS primario
* 208.67.222.222
DNS secundario
* 208.67.220.220
Mas info aqui:
www.opendns.com
Yo diria que esto:
Realmente lo que hemos hecho es inyectarle un información falsa sobre el dominio dnspoisoning.bandaancha.eu que hemos creado para la ocasión. Sus DNS autoritativos apuntan a la IP
89.248.99.20 y el exploit lo que hace es envenenar el servidor con información falsa de modo que apunte a la IP 89.248.99.18.
Es que lo han conseguido xD
Y me estoy refiriendo a la negligencia por parte de Telefónica
Algo así es lo que se hace cuando se envenena un servidor DNS: haces que las direcciones tipo google.com, paypal.es, etc... apunten a máquinas que no son la legítima, de modo que puedes engañar al usuario y robarle contraseñas, correos o cualquier otro dato sensible que te piden y que tú das porque confías en ese dominio www.
Por cierto, yo también tengo la misma duda que #4. ¿Por qué OpenDNS?
Bueno, no es una opinion, es la recomendacion que se hizo desde www.kriptopolis.org/
Para mi, la opinion de esta página me merece toda la credibilidad del mundo.
Nada mas ^^
De todos modos hay que saber también que éste último soft aunque complica las cosas a los posibles atacantes, tampoco es invulnerable del todo al exploit.
Un 10 para BandaAncha.eu
Si la respuesta del servidor DNS de OpenDNS viene replicada de un servidor desactualizado, éste (el openDNS) va a responder erroneamente ya que para él sería la correcta.
No se si me explico.
En linux tienes que editar el archivo:
/etc/resolv.conf
y añadir:
nameserver 208.67.222.222
nameserver 208.67.220.220
Tambien por consola:
www.opendns.com/start?device=ubuntu
Tienes toda la razon, pero ya sabemos que en este pais las cosas de palacio van despacio y no es plan de que nosotros paguemos el pato. Para eso estan paginas de informacion como meneame que llegan a mucha gente.
Tu consultas al servidor DNS de tu ISP (o a los de openDNS, es lo mismo) y estos si no conocen la dirección IP por la que preguntas se van directos a los root-server, de los root-server obtienen el servidor DNS legítimo y a este es a quien preguntan la IP.
Una vez obtienen la IP la responden a quien la ha preguntado y la guardan para próximas consultas.
Por lo tanto hay 4 partes implicadas (a veces 5):
- Cliente: tu. No es probable que seas víctima directa de un ataque DNS.
- ISP o openDNS: Estos son los que te responden a tí y tienen el cache. Las victimas de este ataque. El openDNS es inmune, los de los... » ver todo el comentario
El problema es que los de OpenDNS son una mierda, no se que demonios tienen pero no hay forma de usarlos en Linux sin que te impida acceder a la red local Windows con Samba.
Alabemos todo lo "Open" pero no inculquemos ideas personales como si fueran axiomas.
Si pones en la url: tacatapumpum.net
Los servidores DNS de reenvían a : guide.opendns.com/?url=tacatapumpum.net
Los de OpenDNS te permiten registrarte y usar opciones avanzadas, desconozco si esto se puede desactivar desde ahí.
Hay bastantes cosas que no me gustan de OpenDNS, una de ellas es la que acabo de comentar, otra es esta: fr.pastebin.ca/689242
Al parecer no se están comportando como deberían y pueden estar ensuciando mucho el servicio DNS. En los DNS de tu ISP eso no pasa (excepto en casos concretos de EEUU donde si ha habido alguna queja).
Eres libre de configurar tus dns para que apunten a OpenDNS, en los ISP que hacian esto se configuraban automaticamente por DHCP. No es lo mismo.
Es un servicio lleno de porquería. Tiene filtros activados por defecto que solo puedes desactivar si creas una cuenta (gratuita de momento, eso si) y que solo puedes mantener si usas un cliente Mac/Windows que actualice la IP dinámica cada vez que la cambia tu ISP (para Linux no hay cliente oficial).
El servicio de OpenDNS Search no se puede desactivar. Tampoco se puede configurar el buscador, el que viene es el de yahoo.
Para ciertos casos te redirigen a un proxy que tienen, dicen que son casos excepcionales y siempre con la excusa de crear una mejor experiencia para el usuario.
Veo demasiadas cosas sospechosas y muchos intereses comerciales detrás, creo que se venderán al mejor postor cuando tengan suficiente masa de usuarios y se convertirá en un sistema para publicitar a los anunciantes (si controlas el DNS controlas la forma como se muestran las webs).
No digo que no se utilice durante esta crisis, pero para mi no es un servicio atractivo de cara al futuro.
Eso soluciona el problema de la resolución local.
Que exista solución no significa que justifique lo que hacen los de openDNS, me sigue pareciendo fatal.
#37 no te has enterado todavía de como funciona opendns ?? tal como está montado solo podría fallar si los root servers son vulnerables y NO lo son..
Aunque la hubiera no sería viable a menos que uses Windows o Mac si dispones de IP dinámica (lo mas común a nivel residencial).
En este hilo explican porqué no tienen previsto permitir desactivarlo:
forums.opendns.com/comments.php?DiscussionID=158
Salu2
To avoid having your settings get revoked after reboots, or after periods of inactivity, do this:
$ sudo cp /etc/resolv.conf /etc/resolv.conf.auto
$ sudo gedit /etc/dhcp3/dhclient.conf
# append the following line to the document
prepend domain-name-servers 208.67.222.222,208.67.220.220;
# save and exit
$ sudo ifdown eth0 && sudo ifup eth0
You may be required to change eth0 to your own network device's name if it uses a non-standard name.
El concepto distribuido del DNS pretende descargar a los root servers del trabajo que supondría dar servicio a todos los usuarios a la vez.
Por otra parte, y volviendo al tema del hilo principal, sobre el tema del envenenamiento, al final Dan Bernstein (el autor de djbdns y qmail entre otros), sera lo que quieras, pero hace casi 10 años que sabia que algo así pasaría (y básicamente se demuestra viendo que tinydns no ha sido nunca vulnerable a esto, aparte de que por construcción el servidor autoritativo y el recursivo son dos programas separados, etc).
Los rootservers son servidores autoritativo (digamos los que almacenan los registros originales de una zona, en caso de los rootservers guardan listados de los proveedores de .com .net, etc ), y lo que necesita un cliente para resolver DNS es la ip de un resolutor recursivo (esto es, un programa, normalmente ofrecido por tu ISP, que "va tirando del hilo" hasta llegar al servidor autoritativo del dominio que solicitas).
Ejemplillo:
Tu pides la direccion de www.google.com a tu resolutor recursivo
Este busca la informacion en los rootservers de quien ofrece .com
Luego pregunta a estos si alguno sirve google.com
Luego pregunta a este cual es el... » ver todo el comentario
El descubrimiento es de Dan Kaminsky (al menos la forma de explotarlo) y lleva un tiempo dando información a distintos proveedores para que corrijan el problema.
Bandaancha.st espero hasta que se creara el exploit (lo cual me parece perfecto), pero tiene merito como medio de comunicación y nada mas (que no es poco por otra parte).
NOTA: Es alarmante el numero de ISPs que NO han actualizado. Por favor, comprobar el vuestro (buscad en kriptopolis.org como se hace o bien ir a la page de kaminsky www.doxpara.com )
Pero más allá de eso, la operadora indicada es Telefonica-Data, que no es la misma Telefonica exactamente (sí es la misma, pero otra división por así decirlo), que provee adsl, imagenio y todas esas lineas de las que el personal se queja, y cuyas DNS empiezan todas por 80.58 y acaban por 61.250 / 61.254 / 0.33 / 32.97
Ese ISP es más bien para empresas (lo que también puede hacer pupa, claro que sí), pero esta noticia es de un amarillismo fino, fino.
Los dns de Yoigo también se encuentran afectados por esta vulnerabilidad, según el mismo comprobador.
He cambiado las DNS a Opendns y parece que va mejor.
Sorrillo compa, aunque me dí cuenta, llegué tarde para editarlo.
Salu2
Estas entidades no cambian sus IPs habitualmente y si lo hicieran lo actualizamos en cuanto veamos que no rulan y listo. Eso si, siempre consultando la IP de una fuente fiable (lease DNS parcheado).