Често Задавани Въпроси

Сериозна дупка в BIND може да доведе до забиване на сървъра и потенциален DoS. Все още няма exploit-и в циркулация, но силно се препоръчва ъпгрейд до версия 9.7.3

https://www.isc.org/software/bind/advisories/cve-2011-0414

Mubix прави сравнение между три популярни инструмента за DNS разузнаване – DNSMap, Fierce2 и DNS_enum(Metasploit модул)

DNS Tool Showdown from Practical Exploitation on Vimeo.

Помните ли бъга в DNS от 2008-ма, открит от Дан Камински ? Ето видео как се осъществява технически – въпреки, че в момента повечето DNS сървъри са пачнати, атаката все още е възможна.

Technorati : dns

Robert “RSnake” Hansen е записал следното видео, което обяснява относително новия и непознат експлойт, наречен DNS Rebinding, атакуващ специфично взаимодействието между браузъра и плъгините ( по-точно Flash и Java )Видеото е малко дългичко, но това е, защото RSnake започва почти от нулата – как работи DNS, кешинга, TTL и т.н.

DNS Rebinding with Robert RSnake Hansen from Robert Hansen on Vimeo.

Ако искате да прочетете малко повече по темата, препоръчвам “Protecting Browsers from DNS Rebinding Attacks” от Collin Jackson, Adam Barth, Andrew Bortz, Weidong Shao и Dan Boneh от Станфордския университет.

Powered by Zoundry Raven

Technorati : dns, exploit

Снимка на iuriatan

Поради големия интерес към темата започвам серия за това как се хаква безжична ( wifi, 802.11 ) мрежа. Отново – идеята е да предоставя повече информация за това как да се защитим по-добре от посегателства и кражби. Внимание – не нося никаква отговорност за това какво ще правите с тази информация. Кражбата на Интернет свързаност, файлове и информация си е кражба и като такава се преследва и наказва от закона.

И след веселата част, нека се се спрем на първия обект на хакване- т.нар. hotspots, хотспоти или публични комерсиални точки за достъп. Това обикновено са безжични устройства, разположени в хотели, летища и публични места. Всеки може да ползва тези устройства, след като заплати определена сума за достъп, варираща от няколко лева за ден до абсолютно безсрамните десетки евро за час. Типично за този тип точки е, че те не ползват криптиране, позволяват на всяко устройство да се асоциира към тях и ако не сте въвели паролата, при опит да отворите какъвто и да е сайт, ви пренасочва към т.нар. captive portal. Това последното е фйешън името на една проста уеб страница, обясняваща, че за да цоцате интернет трябва да въведете един номер на кредитна карта…

Методи за крадене на интернет. Да, крадене. Хайде да си наричаме нещата с истинските имена…

Не всички методи работят навсякъде,

1. Добавете .jpg на края на URL

Оригиналната идея е на Felix Geisendörfer – ако добавите .jpg на края на адрес, някои хотспотове го пропускат, а пренасочват само заявки към HTML страници. Felix дори е спретнал малък скрипт за Greasemonkey, който да го прави автоматично.

Предполагам, че тази дупка е специфична за определен вид хотспотове, но поради леснината нищо не пречи да опитате и вие следващия път.

2. Подслушване на чужда парола за достъп

Ако хотспота е популярен, а вие имате време можете да пробвате да подслушате паролата за достъп. В повечето случаи обаче тези страници са най-малкото криптирани с SSL, което прави подслушването трудно. Решението е доста комплексна атака, включваща фалшива точка за достъп и sslstrip.

3. Използване на VPN, който се маскира като DNS трафик.

В огромен брой от случаите хотспотовете пропускат единствено DNS трафик. Този факт отваря интересна вратичка, която може да бъде ползвана с малко предварителна подготовка. За целта ви трябва собствен сървър и контрол над даден домейн. Върху сървъра се инсталира OzymanDNS сървъра, разработен от Дан Камински, а върху вашата машина се стартира SSH, който тунелира всичко като DNS заявка с помощта на малък помощен скрипт на Perl. Детайлни инструкции на английски, заедно с подобрена версия можете да намерите тук.

В скорошно изследване Georgia Instutute of Technology и Google оценява броя на фалшивите DNS сървъри в Интернет на около 68000. Това са сървъри, които контролирани от престъпници¹, връщат погрешна информация на заявките, отправени към тях, като по този начин подвеждат потребителите. Атаката работи по следният начин – когато напишете адрес в браузера си, браузерът пита DNS² за IP адреса на искания от вас сайт. Ако конфигурирания DNS сървър е компрометиран, или компрометиран сървър успее да прехване заявката и да отговори вместо питания сървър, вие получавате грешен адрес, който ви отвежда или на страница, която страшно много прилича на търсената от вас или на сайт, затрупан от реклами. В единият случай се цели да се прехванат вашите лични данни ( адрес и парола за електронна поща, имена, адреси, кредитни карти ), а в другия случай – директна печалба от показваните реклами.

Въпреки, че този тип атаки не са нови, напоследък се забелязва увеличението им, в повечето случаи съчетано с някаква друга атака – опит за инсталиране на бот, целенасочена атака към организация или вирус, който подменя DNS настройките, така че заявките да отидат към измамнически сървър.

Както става в повечето случаи – има решение на проблема, което се поддържа от голяма част от браузърите, операционните системи и сървърите, но поради инерцията и ниската квалификация на огромна част от администраторите и техническия персонал, тази защита не се имплементира. Всъщност решението е просто – с помоща на цифрови подписи всеки DNS отговор се подписва от сървъра, което го аутентифицира пред потребителя. Това обаче ще добави значително натоварване към DNS сървърите, както и ще причини допълнителен трафик през мрежата, който не е за пренебрегване. Все пак само за отварянето на една страница браузърът може да генерира десетки и дори стотици DNS заявки ( макар, че това е белег на лош дизайн ).

Technorati : dns, интернет, сигурност, сървър

1. нарочно не ги наричам “хакери” и не добавям нищо “електронно”. Те са си престъпници. [обратно ↩]
2. Domain Name Server [обратно ↩]