segunda-feira, 11 de agosto de 2008

O DNS Do Seu Provedor Será Que Ele Foi Corrigido (Para Usuários)?

Sim, o DNS que seu provedor te passa para navegar será que ele foi corrigido do Bug do DNS (CVE-2008-1447)?

O que é esse Bug, informação em português.


Vulnerabilidade no protocolo DNS afeta múltiplas implementações.
http://br-linux.org/2008/vulnerabilidade-no-protocolo-dns-afeta-multiplas-implementacoes/

Falha crítica no sistema de nomes de domínios da internet é reparada.
http://idgnow.uol.com.br/seguranca/2008/07/09/falha-critica-no-sistema-de-nomes-de-dominios-da-internet-e-reparada/


Tem algum Teste para saber?


Sim, tem um Teste feito para se saber se o seu DNS que o seu provedor te passa esta corrigido, caso ele não esteja, sem pânico, se pode usar um gratuito como o OpenDNS, que esse esta ok, eu testei aqui.



O Teste.


Vamos ao teste, entre nessa pagina e clique na imagem, Test My DNS, ele vai abrir uma pagina depois de alguns segundos com o resultado, se aparecer POOR (Vermelho) não foi corrigido, GOOD (Amarelo) ok, foi corrigido, GREAT (Verde) ok, esta muito bom(corrigido).
https://www.dns-oarc.net/oarc/services/dnsentropy


Se aparecer o POOR (Vermelho), vai na parte de cima da pagina do teste, e copie todo o texto ali, essa parte ele te da o resultado em modo texto, ai mande para o seu provedor junto do link do teste.



Corrigir esse problema pelo usuário.


Se o teste deu POOR (Vermelho), se pode corrigir colocando um outro DNS, por exemplo o OpenDNS.
http://www.opendns.com/



Como fazer.


Eu uso Debian Etch, acredito que nos outros Linux não deve ser muito diferente.
Quando se conecta por DHCP, ele atribui um IP e o DNS, isso automaticamente, se apenas se colocar o DNS, quando se conectar ele apaga e coloca o do provedor.


Para resolver isso, eu usei essa forma.


Esteja desconectado, vai na parte de configuração da rede, tanto o gnome(network-admin) como o kde (pacote: knetworkconf
) (Menu /Centro de Controle /Internet & Rede / Configurações de Rede) tem bons programas para isso em modo gráfico.

Coloque ai o DNS do OpenDNS.
https://www.opendns.com/start
Nessa pagina esta os números do DNS dele.


Eu uso o
dhcp3-client, assim edite esse arquivo /etc/dhcp3/dhclient.conf

Procure essa linha com esse conteúdo.


#prepend domain-name-servers 127.0.0.1;


Agora coloque abaixo dessa linha essa linha, ai já esta o DNS do OpenDNS.


supersede domain-name-servers 208.67.222.222,208.67.220.220;


salve e conecte a net, veja se esta funcionando a rede e depois repita o teste com esse DNS e veja o que da.




Apesar de não trabalhar na área e meu inglês não ser muito bom, conheço a parte teórica, ao pessoal que trabalha na área se tiver alguma coisa errada, post com a correção.



Em Inglês Sobre o Bug do DNS.



CVE-2008-1447
, DNS Insufficient Socket Entropy Vulnerability.
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-1447


VU#800113
, Multiple DNS implementations vulnerable to cache poisoning.
http://www.kb.cert.org/vuls/id/800113


TA08-190B
, Multiple DNS implementations vulnerable to cache poisoning.
http://www.us-cert.gov/cas/techalerts/TA08-190B.html


ICANN
, Highlights Domain Name System Vulnerability; Releases Tools.
http://www.icann.org/en/announcements/announcement-06aug08-en.htm


ICANN
,
has produced a tool that can check a particular domain.
http://recursive.iana.org/

For Internet users
, online testing tool provided by the DNS Operations, Analysis and Research Center.
https://www.dns-oarc.net/oarc/services/dnsentropy


DNS-OARC,
The DNS Operations, Analysis, and Research Center.
https://www.dns-oarc.net/


ICANN
, Internet Corporation for Assigned Names and Numbers.
http://www.icann.org/

5 comentários:

Juliano disse...

Só um alerta: isso não é uma correção, apenas uma forma de mitigar, ou melhor, dificultar o ataque. Servidores continuam sendo envenenados mesmo com a "correção", só que é necessário muito mais tempo e conexão mais rápida.

O defeito é de projeto do DNS, não há solução simples.

Flávio disse...

Obrigado Juliano pelo comentário.

Olha essa matéria falando sobre o que você disse.
http://idgnow.uol.com.br/seguranca/2008/08/11/pesquisador-apresenta-novo-ataque-que-ameaca-sistemas-dns/

Pelo que eu conheço de programas eles tentam rapidamente arrumar dentro do possível, se não for possível arrumar, se faz assim tipo um quebra galho, até se arrumar definitivamente e naturalmente isso depende da complexidade do problema.

Uma outra coisa que acho importante colocar (minha opinião) junto do que você comentou é que uma boa equipe seja em DNS ou qualquer outra área faz a diferença.
Pois se conhecerem bem, vão configurar bem, assim se tendo um bom serviço e com uma boa segurança.

Roberto disse...

Na verdade o problema já tem uma solução, DNSsec. Espero que este problema com o DNS adiante um pouco a implementação do dnssec no Brasil.

Anônimo disse...

E se o danado do cara que envenenou o DNS do seu provedor colocou um endereço falso para o site do "www.dns-oarc.net" criando uma estrutura idêntica que só vair responder "GREAT (Verde)" para qualquer consulta?

Flávio disse...

Anônimo.

É uma possibilidade, mas como se tem muitos provedores e muitos servidores de DNS, e tem pessoas com experiência, mesmo que alguém faça isso, algumas pessoas vão perceber a pagina falsa, por exemplo da uma olhada no link.
http://idgnow.uol.com.br/seguranca/2008/07/30/criador-de-malware-para-dns-e-vitima-de-201cenvenenamento-de-cache201d/