DNS Poisoning. Ci dobbiamo preoccupare?

[phobos3576]

A quanto sembra, gli aggiornamenti di sicurezza rilasciati per BIND e DNSMASQ non sarebbero sufficienti a mettersi al sicuro dal DNS Poisoning; chi ha scoperto le vulnerabilità pare non abbia rivelato tutti i dettagli, tanto che ancora in questi giorni si stanno verificando degli exploit anche a danno di server opportunamente patchati!

http://punto-informatico.it/p.aspx?i=2369319

Leggendo le risposte di numerosi utenti non si sa se preoccuparsi o meno!

[_NYTRO_]

Ci sono seri problemi..

[kobaiachi]

questo tipo di attacchi e noto e praticabile da molto tempo non capisco il senso di tutto il fragore che PI da alla notizia.

[_NYTRO_]

Sinceramente non ho letto l'articolo su PI, ma ho sentito gli effetti..
Siti in hosting in USA non raggiungibili per 2 giorni e ci sono stati dei problemi anche a livello del MIX.
PI scopre l'acqua calda, però la cosa sta diventando sempre più preoccupante..

[phobos3576]

Punto Informatico ne approfitta per fare del sensazionalismo, però l'articolo è preso da siti stranieri piuttosto affidabili e riguarda fatti che si stanno verificando in questi giorni, dopo che con gli aggiornamenti di sicurezza sembrava tutto risolto; tra l'altro, pare che il problema abbia colpito anche Tiscali!

[Mario Vanoni]

Non mi preoccupa,
la velocita` dipende unicamente dalla TELECOM,
fatturano 7 MEGA, forniscono 3-4 MEGA o meno.

SWISSCOM in Svizzera dal 24 agosto,
per un prezzo ADSL simile,
aumenta upload ad 1M, download a 20M,
con garanzia che il download minimo >= 8M.

Quando si scarica a 20kb/s, DNS marcio o ???

[_NYTRO_]

Non mi preoccupa,
la velocita` dipende unicamente dalla TELECOM,
fatturano 7 MEGA, forniscono 3-4 MEGA o meno.
SWISSCOM in Svizzera dal 24 agosto,
per un prezzo ADSL simile,
aumenta upload ad 1M, download a 20M,
con garanzia che il download minimo >= 8M.

Quando si scarica a 20kb/s, DNS marcio o ???

Ma si parla di prestazioni di rete o di DNS?! Sinceramente ci frega poco o niente del costo delle ADSL in Svizzera!

ci sono stati dei problemi anche a livello del MIX.

phobos3576: il MIX gerarchicamente è un pò sopra a Tiscali..
Tiscali è solo uno dei tanti membri del MIX..

[phobos3576]

phobos3576: il MIX gerarchicamente è un pò sopra a Tiscali..
Tiscali è solo uno dei tanti membri del MIX..

Si, lo so; citavo il caso di Tiscali solo per indicare come ci sia gente che se ne frega nonostante fossero disponibili dall'inizio di Luglio tutti gli aggiornamenti di sicurezza!

Inoltre, ci sono appositi siti (non so quanto attendibili) come http://www.doxpara.com/ che forniscono informazioni sull'affidabilità dei DNS; connettendomi con Telecom mi dice che i DNS sono sicuri, mentre utenti con altri provider hanno ottenuto messaggi del tipo "... appears vulnerable to DNS Cache Poisoning. All requests came from the following source port: 1234".

Evidentemente, il problema riguarda i singoli provider e non arriva al livello del MIX.

[_NYTRO_]

"a livello del MIX" nel senso che sono stati colpiti molti provider appartenenti al MIX..

[kobaiachi]

fin quando i dns soggetti sono quelli dei provider non mi preoccupo piu di tanto, si qualche problemino fastidioso ci puo essere
(magari che causa perdita di denaro o problemi di sicurezza per molti siti o servizi che sono fruibili da internet) ma fin quando non vengono attaccati i root dns questi disserizi si possono considerare solo come fastidi.

[conraid]

A me tutta la storia non torna.
Si parla di 15 giorni dalla scoperta del bug, etc...
Provate a guardare la data delle patch di Bind e vedrete come loro lo sapessero ben prima.
Anche leggendo qui sembra la stessa cosa: http://www.kb.cert.org/vuls/id/800113


Mi sa che chi diceva che è solo un vecchio problema venuto alla luce quando ci si è voluto fare sensazionalismo sia vero

Per non parlare di quando leggo che una patch MS per il loro DNS non fa andare ZoneAlarm e mi domando "ci sono utenti MS che hanno un server DNS attivo nella loro macchina, magari come noi utenti linux abbiamo BIND, ed usano ZoneAlarm come firewall???" Spero di aver capito male

[marghe]

Io su ff uso l'estensione showip, e per siti importanti dove voglio essere sicuro confronto l'indirizzo ip, ma questo già da prima delle ultime notizie allarmanti....

[danix]

Ciau a tutti,
sono un completo ignorante in materia (e non solo ), quindi non so se sono in topic o meno, ma volevo chiedervi un chiarimento...
Oggi sto notando una notevole lentezza nella risoluzione dei nomi quando sono su internet, si tratti di wget o firefox o thunderbird o altro ancora ci sto almeno 10 secondi a risolvere qualsiasi sito e poi l'adsl fa il suo dovere...
Per esempio, ho letto che negli SSA di oggi ci sono 10 nuovi pacchetti, e quindi mi sono messo con slackpkg a scaricarli... wget ci stava non meno di 10 secondi a risolvere slackware.osuosl.org, però appena risolveva riuscivo a scaricare ad una media di 750 KB/s...
Tutto questo è legato ai problemi di dns di cui state parlando qui o sto semplicemente spammando questo thread senza saperlo???

Compatite la mia ignoranza...


Grazie mille a tutti per i chiarimenti...

[kobaiachi]

la tua domanda e legittima.

pero è molto piu probabile che il tuo problema derivi da una lentezza dei server dns del tuo isp causata da qualche altro tipo di problema.

tra l'altro questo attacco non rallenta necessariamente la velocita del dns, ma pricipalmente con questo attacco si mira a cambiare l'associazione ip nome a dominio (semplifico) residente nelle tabelle del server dns.

[Trotto@81]

Oggi i dns proprietari Telecom sono stati messi in crisi da questo tipo di attacchi, sono dovuto passare subito agli OpenDNS per riuscire a navigare.