09 Luglio 2008 ore 11:41 di: Tullio Matteo Fanti

http://www.webnews.it/img/news/news_7262091deaa80496.png

Scoperta quasi per caso una grave falla insita in uno dei protocolli base di Internet, ovvero il Domain Name System, e sfruttabile per indirizzare gli utenti verso pagine arbitrarie. I diversi vendor al lavoro per installare le patch correttive

Internet presenta una grave falla (VU800113 (http://www.kb.cert.org/vuls/id/800113)) proprio all'interno di uno dei suoi protocolli chiave, ovvero il Domain Name System (DNS), incaricato di tradurre in sequenze numeriche (indirizzi IP) i nomi dei domini inseriti dagli utenti. Sfruttando tale vulnerabilità, che risiede proprio nella struttura base del protocollo, alcuni utenti malintenzionati potrebbero reindirizzare il traffico su Internet in maniera arbitraria. Sarà compito dei diversi vendor e amministratori di rete installare le patch correttive all'interno dei sistemi da loro gestiti.

La falla è stata scoperta quasi per caso sei mesi or sono dal ricercatore di sicurezza Dan Kaminsky ed è incentrata sul modo in cui i server gestiscono la conversione degli indirizzi da parole a numeri. Se non risolta, tale vulnerabilità potrebbe facilitare enormemente le campagne di phishing, dirottando gli utenti verso pagine web fasulle. Al momento non ci sono comunque prove atte a dimostrare l'utilizzo di tale falla da parte dei cybercriminali.

È critico a questo punto che tutte le organizzazioni identifichino al meglio i loro server DNS e applichino le patch appropriate. I dettagli sulla vulnerabilità identificata verranno resi pubblici solamente tra una trentina di giorni, nel corso della conferenza sulla sicurezza di Black Hat a Las Vegas. Gli esperti di sicurezza sperano che le patch siano abbastanza sicure da non permettere il reverse-engineer, operazione in grado di mostrare come condurre la vulnerabilità all'exploit. Secondo Kaminsky, ciò non avverrà in tempi brevi, almeno non prima della divulgazione della falla.



Fonte: WebNews (http://www.webnews.it/news/leggi/8763/una-falla-coinvolge-lintera-rete/)

ottima segnalazione;)

solo per voi ;)

I’m very proud to announce that we are one of the only DNS vendor / service providers that was not vulnerable when this issue was first discovered by Dan.

http://blog.opendns.com/2008/07/08/opendns-proven-to-be-the-most-secure-dns/

Grandissimi.

ottima segnalazione kou :)

ho provato a fare il test di vulnerabilità sui server dns di opendns ed è tutto ok.
per chi volesse, può trovate il test a questo indirizzo:

http://www.doxpara.com/

una volta caricata la pagina basta premere il tasto "check my dns" e verrà restituito il log del test con il risultato.

ripreso anche da repubblica:

http://www.repubblica.it/2008/07/sezioni/scienza_e_tecnologia/internet-falla/internet-falla/internet-falla.html

ho provato a fare il test di vulnerabilità sui server dns di opendns ed è tutto ok.
per chi volesse, può trovate il test a questo indirizzo:

http://www.doxpara.com/

una volta caricata la pagina basta premere il tasto "check my dns" e verrà restituito il log del test con il risultato.


sì infatti dice che sono sicuri. provando quelli che avevo prima invece dice che ero a rischio...

sì infatti dice che sono sicuri. provando quelli che avevo prima invece dice che ero a rischio...

cosa deve dire x vedere se sn sicuri

mi questo cosa devo fare:

appears vulnerable to DNS Cache Poisoning.

Your name server, at 208.69.34.6, appears to be safe.

Your name server, at 208.69.34.6, appears to be safe.

un cosa strana e che prima nn me lo dova visto che ho provato anche stasera invece adesso mi da il messagio che ho scritto sopra

rifatto adesso me li da cm normali

conviene che spesso svuotate cookies e cache da ogni browser.

conviene che spesso svuotate cookies e cache da ogni browser.

xrchè ?

a volte può capitare qualche problema magari con i siti che vengono rinnovati... in quel caso svuotare cookies e cache del browser può servire.

ps: sperando che possa risolvere un problema di connessione lenta ad alcuni di voi provate a svuotare anche la cache dei dns.

aprite il file cmd.exe (su vista va messo esegui come amministratore)

dentro scrivete

ipconfig /flushdns


quindi controllate come va la connessione.

adesso me lo rida cm vulnerabile cs posso fare...quello indirizzi me li aveva dati la tiscali tempo fa xrchè avevo pronblemi

controlla se hai messo bene gli opendns.

controlla se hai messo bene gli opendns.

dove li controllo

nn capisco una cosa cm mai quel programma vede dns diversi dai miei


se può interessare:

http://www.dinoxpc.com/News/news.asp?ID_News=14809&What=&tt=Corretto+il+bug+del+protocollo+DNS%3A+Internet+%E8+salva!

una cosa nn capisco questa patch la devono installare gli utenti o le aziende che danno i dns ?

quella patch va installata sui server che gestiscono i DNS. al momento per essere immune al problema puoi impostare gli opendns nel tuo pc che non sono vulnerabili:

https://www.opendns.com/start

nel link che ti ho riportato ci sono le istruzioni su come cambiarle in base al sistema operativo che utilizzi.


edit: secondo microsoft bisogna aggiornare tutti i suoi sistemi operativi per questo problema tramite una patch che è stata rilasciata su windows update, comwe letto sull'ottimo articolo di tweakness.

ripreso da punto informatico:

http://punto-informatico.it/2350066/PI/News/DNS-bacati--Internet-a-rischio/p.aspx

quella patch va installata sui server che gestiscono i DNS. al momento per essere immune al problema puoi impostare gli opendns nel tuo pc che non sono vulnerabili:

https://www.opendns.com/start

nel link che ti ho riportato ci sono le istruzioni su come cambiarle in base al sistema operativo che utilizzi.

ho clikkato nell immagine dove ce il portatiel clikkato su winxp solo che alla fine mi da dei dns ma nn so se sn dei numeri x fare un esempio o quelli reali e un altra cosa xrche adesso ho fatto dinuovo il controllo e nn mi ha trovato nulla

sono gli opendns quelli riportati nella guida ecco perchè ora sei immune.

sono gli opendns quelli riportati nella guida ecco perchè ora sei immune.

gli opends riportati nella guida nn gli ho messi ancora aspettavo la tua risposta

Notizia riportata anche da MegaLab: http://www.megalab.it/news.php?id=2273

più in dettaglio su tweakness:

http://www.tweakness.net/news/4627

rifatto dinuovo la prova cn quel sito me la ok...i miei dms sn 36 70 32 70 solo che me li da in quel sito 36 104 e 32 71 cm mai

Il firewall ZONEALARM blocca l'accesso ad internet dopo aver installato la patch di microsoft.

Ora ho scaricato nuova versione di ZA vediamo stasera se funziona ...

ZA tra le varie soluzioni suggerisce di disinstallare la patch di win ... non ci posso credere :doh:
http://download.zonealarm.com/bin/free/pressReleases/2008/LossOfInternetAccessIssue.html

Devo cambiare FIREWALL ...

Il firewall ZONEALARM blocca l'accesso ad internet dopo aver installato la patch di mirosoft.

Ora ho scaricato nuova versione di ZA vediamo stasera se funziona ...

Leggi qui

http://www.hwupgrade.it/forum/showpost.php?p=23252179&postcount=904

http://www.hwupgrade.it/forum/showpost.php?p=23253538&postcount=906

certo che ZA per fare macelli non si smentisce mai :D

[...]

certo che ZA per fare macelli non si smentisce mai :D

norton 2 la vendetta! :D

norton 2 la vendetta! :D

Già :) ma il Norton resta imbattibile :D

Già :) ma il Norton resta imbattibile :D

you are great! :sofico:

you are great! :sofico:

:sofico:

Notizia riportata anche da MegaLab: http://www.megalab.it/news.php?id=2273

L'articolo di Megalab è troppo ottimistico.
I DNS sono sempre vulnerabili.
Basta fare il test per vedere ciò !!

E' interessante constatare come anche la navigazione effettuata per mezzo di cellulari risenta di questo bug:

http://img32.picoodle.com/img/img32/4/7/10/t_vodafonem_869d6a3.jpg (http://www.picoodle.com/view.php?img=/4/7/10/f_vodafonem_869d6a3.jpg&srv=img32)

Ho fatto la prova con Vodafone ma credo che altri gestori siano nelle stesse condizioni.
Adesso ho impostato nella connessione i DNS OPEN.
Appena è possibile faccio il test di vulnerabilità.

Adesso è OK.
Considerate che occorre riavviare la connessione dopo aver impostato gli open DNS.

io ancora nn ho capito una cosa ma questo sito dove si vede se i dns sn sicuri o no mi vede i dns in modo diverso xrò se vado su picongif/all li vedo normali mi devo preocupare

io ancora nn ho capito una cosa ma questo sito dove si vede se i dns sn sicuri o no mi vede i dns in modo diverso xrò se vado su picongif/all li vedo normali mi devo preocupare

No! se hai impostato quelli di Open Dns sei ok

No! se hai impostato quelli di Open Dns sei ok


cmq x la cronaca anche impostando quelli di open dns me li vede in modo diverso

cmq x la cronaca anche impostando quelli di open dns me li vede in modo diverso

Normale :)

Qualche novità.

Ho provato a rifare il test.
I DNS (almeno Telecom) passano il test !! ;) :D

Oggi ho provveduto al ripristino dei DNS che avevo prima quindi.

Gli Open DNS non mi sono mai piaciuti (in primis per la lentezza ) ed anche perchè lamento,ogni tanto, almeno nell'accesso a questo forum problemi di mancato accesso ed apertura della pagina.
Sia con i dns primari che secondari.

Mancato accesso che naturalmente non si presenta con i DNS del gestore ADSL.

Qualche novità.

Ho provato a rifare il test.
I DNS (almeno Telecom) passano il test !! ;) :D

Oggi ho provveduto al ripristino dei DNS che avevo prima quindi.

Gli Open DNS non mi sono mai piaciuti (in primis per la lentezza ) ed anche perchè lamento,ogni tanto, almeno nell'accesso a questo forum problemi di mancato accesso ed apertura della pagina.
Sia con i dns primari che secondari.

Mancato accesso che naturalmente non si presenta con i DNS del gestore ADSL.

hai provato a svuotare le cache del browser e dei dns e a svuotare i cookies?

hai provato a svuotare le cache del browser e dei dns e a svuotare i cookies?

Non ne ho bisogno perchè con FF3 ho impostato di accettare i cookie solo dal sito che si visita e di cancellarli all'uscita e questo appena è uscita questa versione ed uso FF3 solo sotto linux dove naturalmente non ho impostato alcuna cache DNS.

E con Opera uso le stesse opzioni.

confermo anche i dns fastweb che usavo sono diventati immuni al problema a seguito di test fatto.

PCWorld.com victim of DNS Cache poisoning?

http://www.dozleng.com/updates/index.php?showtopic=16134

ma non c'è per vista sta patch?

.

ultimi sviluppi del caso su webnews:

http://www.webnews.it/news/leggi/8854/la-grande-falla-del-web-non-ha-piu-segreti/


e punto informatico:

http://punto-informatico.it/2365819/PI/News/DNS-hijacking--il-bug-sfugge-e-si-rivela/p.aspx

Windows Vista non è affetto dal problema



PS
comunque se non verranno rilasciati aggiornamenti per i firmware dei router, la patch servirà a poco


però se faccio il test dei dns quando uso quelli normali dice che sono vulnerabili -.-


per quella cosa del router penso che infatti sia così... penso sia vulnerabile...

cosa succede se blocco l'indirizzo ip che vedo in quel sito, esattamente dove dice Requests seen for

?



edit: a dire il vero a volte dice che sono sicuri altre volte vulnerabili -.- beh allora non so che fare -.- quindi riprendo ad usare gli opendns.

.

io credo che non lo faranno mai...

ripreso da hwupgrade:

http://www.hwupgrade.it/news/sicurezza/rilasciati-inavvertitamente-alcuni-dettagli-sulla-falla-del-sistema-dns_26069.html

novità su punto informatico:

DNS poisoning, c'è l'exploit (http://punto-informatico.it/2369319/PI/News/DNS-poisoning--c--egrave--l-exploit/p.aspx)


Pronto un kit per sfruttare la vulnerabilità. Che ora potrà essere impiegata dai malintenzionati per portare avanti truffe di nuova generazione. Gli admin devono affrettarsi per correre ai ripari...


ripreso anche da tweakness:

http://www.tweakness.net/news/4653

Già, è pronto da qualche tempo.

Ulteriore strumento per testare i DNS

https://www.dns-oarc.net/oarc/services/dnsentropy

Già, è pronto da qualche tempo.

grazie per l'info ;)

Altro servizio per testare i DNS http://member.dnsstuff.com/pages/tools.php?ptype=free

ultime su punto informatico:

DNS poisoning, dettagli e attacchi (http://punto-informatico.it/2371705/PI/News/dns-poisoning-dettagli-attacchi.aspx)

In poche ore arrivano le prime indiscrezioni ufficiali sulla vulnerabilità e i primi log che mostrano i cattivoni al lavoro. Kaminsky rilancia: patchate tutti, esorta, patchate prima che sia troppo tardi

... (http://punto-informatico.it/2371705/PI/News/dns-poisoning-dettagli-attacchi.aspx)

novità su tweakness:

http://www.tweakness.net/news/4661

http://www.pcworld.com/businesscenter/article/149126/dns_attack_writer_a_victim_of_his_own_creation.html

tutta la mattina se provavo ad aprire hardware upgrade mi dava la pagina openDNS con la scritta che il sito non si caricava...

eppure vedo che la gente postava.

tutta la mattina se provavo ad aprire hardware upgrade mi dava la pagina openDNS con la scritta che il sito non si caricava...

eppure vedo che la gente postava.

problema che avevo avuto anche io. cambiando i dns il servizio risultava ok ecco perchè altri utenti riuscivano a postare. ora sono nuovamente con gli opendns e funziona tutto correttamente. il problema dipendeva dagli opendns.

ho due pc dietro allo stesso router, su uno accedo al sito e sull'altro non lo carica

ho due pc dietro allo stesso router, su uno accedo al sito e sull'altro non lo carica

imposta i dns direttamente nel router.

io spero che vista sia realmente esente da sta falla xkè gli opendns sono stralenti -.- e poi non sono mica pochi quelli che ne fanno uso.

ciao, per curiosità, fai questo test (http://www.doxpara.com/) con il firewall disattivato e facci sapere.

ciao, per curiosità, fai questo test (http://www.doxpara.com/) con il firewall disattivato e facci sapere.

coi firewall di vista e del router attivati esce fuori questo

Your name server, at 193.70.152.13, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...).Requests seen for f083fa060aba.doxdns5.com:
193.70.152.13:51066 TXID=2114
193.70.152.13:24087 TXID=61015
193.70.152.13:12450 TXID=62270
193.70.152.13:29511 TXID=27858
193.70.152.13:16129 TXID=62564

ma cmq ogni volta cambia

facendolo con gli opendns al posto dei dns normali dice solo che sono sicuri e non dice nulla sulle porte...


edit: o_O a dire il vero oggi coi dns normali sta uscendo sempre quel risultato che vedete qua sopra -.- non è che per caso hanno messo a posto la falla? gli altri giorni ricordo bene che non era sempre così xkè spesso diceva che i dns che usavo non erano sicuri...

ciao, per curiosità, fai questo test (http://www.doxpara.com/) con il firewall disattivato e facci sapere :read: :stordita:

quando vedi scritto: ""appears to be safe vuol dire che paiono sicuri, lo stesso risultato lo dà anche con gli open dns. consiglio comunque di fare il test con il firewall disattivato e di inserire i dns sicuri, controllati col test, direttamente nel router.

[...]


edit: o_O a dire il vero oggi coi dns normali sta uscendo sempre quel risultato che vedete qua sopra -.- non è che per caso hanno messo a posto la falla? gli altri giorni ricordo bene che non era sempre così xkè spesso diceva che i dns che usavo non erano sicuri...
non c'è nulla di strano, i sysadmin si stanno affrettando ad aggiornarli con le patch rilasciate.

ripreso da downloadblog:

http://www.downloadblog.it/post/7448/controlla-se-il-tuo-server-dns-e-vulnerabile

Ho una domanda da porvi, io ho una connessione Alice flat, ho fatto il test con check my DNS e mi dice che sono apposto, ma io ho impostato in protocollo TCP/IP ottieni automaticamente sia indirizzo IP che DNS.Non cambia nulla o con altre connessioni potrei connettermi a indirizzi DNS non sicuri? (perdonate la mia ignoranza se ho scritto delle baggianate ma non ne so molto in materia e per questo mi rivolgo a voi)
grazie e ciao

lasciando il segno di spunta su "ottieni dns automaticamente" fai in modo che il tuo internet service provider ti lasci usare i suoi dns. telecom italia ha molti dns, alcune dei quali leggendo quà e là, non sono ancora stati patchati. io ti consiglio di inserirne di sicuri manualmente. il fatto che fai il test e risultano non fallati non significa che magari in un giorno ti possano dare altri dns che magari non sia patchati.

ho provato a fare il test di vulnerabilità sui server dns di opendns ed è tutto ok.
per chi volesse, può trovate il test a questo indirizzo:

http://www.doxpara.com/

una volta caricata la pagina basta premere il tasto "check my dns" e verrà restituito il log del test con il risultato.

Ciao,

volevo chiederti, gentilmente, un aiutino in quanto cliccando sul link su indicato ( www.doxpara.com) si viene reindirizzati a questo link http://dankaminsky.com/ ( è la stessa cosa?) sul quale io non riesco a trovare il tasto check my dns.

Inoltre volevo sapere, cortesemente, se potevate aiutarmi a capire come si legge il rapporto generato dal DNS Nameserver Spoofability Test ( non so esiste una guida in italiano per la interpretazione dei risultati del trest?) offerto dal sito https://www.grc.com/dns/dns.htm

Grazie

Ciao

Fjfj

Ciao,

volevo chiederti, gentilmente, un aiutino in quanto cliccando sul link su indicato ( www.doxpara.com) si viene reindirizzati a questo link http://dankaminsky.com/ ( è la stessa cosa?) sul quale io non riesco a trovare il tasto check my dns.

Inoltre volevo sapere, cortesemente, se potevate aiutarmi a capire come si legge il rapporto generato dal DNS Nameserver Spoofability Test ( non so esiste una guida in italiano per la interpretazione dei risultati del trest?) offerto dal sito https://www.grc.com/dns/dns.htm

Grazie

Ciao

Fjfj

Il Test è stato rimosso, parliamo di una falla resa nota nel 2008 ed opportunamente corretta.

Il Test è stato rimosso, parliamo di una falla resa nota nel 2008 ed opportunamente corretta.

ok Grazie mille,

ho provato ad usare il servizio https://www.grc.com/dns/dns.htm però francamente non riesco ad interpretare i risultati.
Nel report fornito ci sono varie colonne e grafici, qual'è la sezione in cui bisogna prestare attenzione per avere certezza dell'affidabilità dei DNS usati?

Oppure ci sono altri test per la verifica dell'affidabilità ( DNS spoofing) più semplici da comprendere?

Grazie mille

Ciao

Fjfj

ok Grazie mille,

ho provato ad usare il servizio https://www.grc.com/dns/dns.htm però francamente non riesco ad interpretare i risultati.
Nel report fornito ci sono varie colonne e grafici, qual'è la sezione in cui bisogna prestare attenzione per avere certezza dell'affidabilità dei DNS usati?

Oppure ci sono altri test per la verifica dell'affidabilità ( DNS spoofing) più semplici da comprendere?

Grazie mille

Ciao

Fjfj

A distanza di 3 anni (come già detto) i tuoi DNS non sono certo vulnerabili a questo tipo di attacco.

Comunque se proprio desideri fare il Test il risultato deve essere il seguente

Anti-Spoofing Safety: Excellent

A distanza di 3 anni (come già detto) i tuoi DNS non sono certo vulnerabili a questo tipo di attacco.

Comunque se proprio desideri fare il Test il risultato deve essere il seguente

Anti-Spoofing Safety: Excellent

Grazie mille

Ciao

Fjfj

ma dove dovrebbe comparire questo risultato? Io non trovo nulla...
io vedo solo questo che si può collegare ai risultati del test:
https://www.grc.com/dns/qspa.png
e questo:
https://www.grc.com/dns/dnad.png
uso firefox 5, google dns e se serve saperlo, avast 6 e online armor...

a volte può capitare qualche problema magari con i siti che vengono rinnovati... in quel caso svuotare cookies e cache del browser può servire.

ps: sperando che possa risolvere un problema di connessione lenta ad alcuni di voi provate a svuotare anche la cache dei dns.

aprite il file cmd.exe (su vista va messo esegui come amministratore)

dentro scrivete

ipconfig /flushdns


quindi controllate come va la connessione.

yeah! ;)