Re: Πραγματικό κενό ασφαλείας ή διαφήμιση για την μικροσοφτ;
Konstantinos Togias
ktogias at math.upatras.gr
Mon Jul 28 08:26:04 BST 2008
2008/7/28 Pavlos Ponos <ponospaulos at yahoo.gr>:
> O/H Giannis Kozyrakis έγραψε:
>> Nikos Alexandris wrote:
>>
>>> Διαβάζοντας τα "νέα" στο in.gr [1] όπου στο τέλος γίνεται αναφορά για
>>> patch χωρίς συγκεκριμένη αναφορά για λειτουργικό σύστημα ή φυλλομετρητή,
>>> μου δημιουργήθηκε η εντύπωση ότι ίσως πρόκειται για διαφημιστικό
>>> τέχνασμα αφού, συχνά, η καλύτερη διαφήμιση είναι η αρνητική διαφήμιση.
>>>
>>> Σε προηγούμενο άρθρο βέβαια [2] γίνεται αναφορά patch για Internet
>>> Explorer.
>>>
>>> Προσπάθησα να διαβάσω περισσότερα στον δικτυακό τόπο
>>> http://www.doxpara.com/ - το κείμενο με τίτλο Details [3] και να ελέγξω
>>> το DNS απ' το οποίο βγαίνω στο διαδίκτυο με το "DNS Checker" στην
>>> ιστοσελίδα doxpara.com.
>>>
>>> Δεν είμαι μάγος επί των διαδικτυακών υπηρεσίων οπότε και ρωτώ: πόσο
>>> σοβαρό είναι ή δεν είναι το εν λόγω κενό ασφαλείας για
>>> linux/firefox(galeon,epiphany κ.λπ.);
>>>
>>> [1] http://www.in.gr/news/article.asp?lngEntityID=922508&lngDtrID=252
>>> [2] http://www.in.gr/news/article.asp?lngEntityID=918041
>>> [3] http://www.doxpara.com/?p=1185
>>>
>>
>>
>> Αρχικα να πω οτι δεν ειναι καποιο νεο bug. Ειναι ενα νεος τροπος να
>> 'εκμεταλευθει' καποιος ενα συνδυασμο απο δυο παλαιοτερα, γνωστα, και
>> αρκετα 'patched' bugs.
>>
>> Δεν εχει καμια σχεση με συγκεκριμενη πλατφορμα (windows, linux κτλ) αλλα
>> ουτε και browser. Με το μονο που εχει σχεση ειναι το ιδιο το πρωτοκολλο
>> dns, και συγκεκριμενες εκδοσεις συγκεκριμενων dns servers, που
>> χρησιμοποιουν οι ISP, τα data centers κτλ.
>>
>> Τα patch αφορουν αυτους αποκλειστικά, και οχι εσενα σαν απλό χρηστη.
>>
>> Ειναι πολυ σημαντικό θεμα, στο βαθμό που εμπιστευεσαι οτι το url το
>> οποιο γραφεις για να πας σε ενα site, σε παει πραγματι σε αυτό το site
>> και όχι σε κάποιο άλλο.
>>
>> Στο adslgr [1] εχει ενα αρθρο στα ελληνικά το οποιο ειναι καλυτερο απο
>> του in.gr και πολυ πιο ευπεπτο απο αυτο στο doxpara ( αυτο ειναι το blog
>> του ανθρωπου που το ανακαλυψε).
>>
>> Απο την δικη σου πλευρα σαν απλος χρηστης, μπορεις να κανεις τα εξης:
>>
>> 1) Να ελενξεις τους dns που χρησιμοποιεις, με ενα απο τα πολλα τεστ που
>> υπαρχουν στο internet [2][3][4]
>>
>> 2) Σε περιπτωση που δεις οτι ο dns server που χρησιμοποιείς ειναι
>> vulnerable στη συγκεκριμενη επιθεση, και αν θες να κανεις κατι για αυτο,
>> στη συγκεκριμενη φαση το ασφαλεστερο πραγμα που μπορεις να κανεις, ειναι
>> να αλλάξεις του dns servers που χρησιμοποείς, με αυτούς του OpenDNS
>> project [5], οι οποιοι ειναι patched και ασφαλεις [6], και ανοιχτοι στον
>> καθε εναν.
>>
>> 3) Στη συνεχεια μπορεις να 'bug' (με την εννοια του 'πρηξιματος ;) )
>> τους τεχνικους του isp σου, ωστε να περασουν τα critical security
>> patches για τον dns server τους, τα οποια εχουν βγει απο τις 8 Ιουλίου
>> και δε τα εχουν περασει ακομη.
>>
>>
>> /trv
>>
>>
>> ΥΓ.: Επιτηδες προσθαθησα να μη μπω σε λεπτομερειες επι του τεχνικου,
>> ουτε επι του χαμου που εγινε στα media για το θεμα - Πραγματικα ηταν σαν
>> να βλεπεις μεσημεριανο στα security blogs, με καρφωματα,
>> αλληλοκατηγοριες, χλευασμο, χειροκροτήματα κτλ.. Πλακα ειχε :)
>>
>> [1] http://www.adslgr.com/forum/showthread.php?t=221416
>> [2] http://entropy.dns-oarc.net/test/
>> [3] http://www.doxpara.com/ (τεστ στη δεξια στηλη)
>> [4] http://www.provos.org/index.php?/archives/43-DNS-Testing-Image.html
>> [5] http://www.opendns.com/
>> [6] http://blog.opendns.com/2008/07/08/opendns-keeping-you-safe/
>>
>>
> Έκανα το τεστ στο 2ο λινκ που έδωσες και μου βγάζει αυτό στην εικόνα
> http://img301.imageshack.us/img301/7857/screenshotoc3.png
>
> Έχω την εντύπωση ότι είναι καλό αυτό που βγάζει.. Έχω όμως μία απορία:
> εμείς οι απλοί χρήστες που απλά χρησιμοποιούμε DNS server έχουμε κάποιο
> πρόβλημα; Εμείς οι χρήστες Ubuntu ως γνωστόν από ιούς, fishing, trojans
> κτλ δεν καταλαβαίνουμε. Αυτό αλλάζει τίποτα απ' τα προηγούμενα;
>
Απ' ότι έχω καταλάβει το συγκεκριμένο κενό ασφαλείας που αφορά το
σύστημα DNS επιτέπει στον DNS server κάποιου επιτείδιου να απαντάει
στις αιτήσεις για ένα domain πρώτος υποσκελίζοντας τον επίσημο dns
server που είναι υπέυθυνος/εξουσιοδοτημένος για το domain αυτό. Με
αυτό τον τρόπο μπορέι να στέλνει όσους ζητάνε το ip πχ. για το
example.com σε όποιο ip θέλει, χωρίς οι αιτούντες να μπορούν να
ελέγξουν αν η απάντηση είναι σωστή ή όχι. Έτσι μπορεί να γράφεις στον
browser www.mybank.gr και όταν ο browser πάει να κάνει resolve το
όνομα στο αντίστοιχο ip να πάρει σαν απάντηση ένα ip που δεν
αντιστοιχεί πραγματικά στους υπολογιστές του mybank, αλλά σε μηχάνημα
ελεγχόμενο από τον επιτείδιο στο οποίο έχει ανεβάσει ένα site όμοιο με
αυτό του mybank προκειμένου να βάλεις εκεί τα στοιχεία εισόδου σου και
να στα υποκλέψει. Η διαδικασία αυτή, όπως γίνεται φανερό, είναι
εντελώς ανεξάρτητη από το τι λειτουργικό τρέχει στον υπολογιστή σου.
Ότι λειτουργικό και να τρέχεις, ο browser σου ρωτάει για το domain
name mybank.gr τον dns server του παρόχου σου, αυτός αν δεν το έχει
αποθηκευμένο σε κάποια προσωρινή μνήμη ρωτάει άλλους, αυτοί άλλους,
μέχρι να βρεθεί αυτός που γνωρίζει που αντιστοιχεί το mybank.gr και να
στείλει την απάντηση πίσω. Το linux είναι πιο ασφαλές από πολλά
εμπορικά λειτουργικά συστήματα, αλλά δεν αποτελεί και την ίαση για
κάθε νόσο και μαλακία... Πάντα πρέπει να έχουμε τα μάτια μας ανοιχτά
και να προσέχουμε, ειδικά όταν δίνουμε στοιχεία ή κανουμε συναλλαγές
μέσω του διαδικτύου.
> --
> Ubuntu-gr mailing list
> Ubuntu-gr at lists.ubuntu.com
>
> If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
>
--
Konstantinos Togias
Dipl.-Math., M.Sc.
Research Academic Computer Technology Institute
More information about the Ubuntu-gr
mailing list