Schneier.com - Kot je znano, je raziskovalec Dan Kaminsky pred časom v DNS protokolu odkril resno ranljivost, ki je omogočala izvedbo tim. zastrupljanja predpomnilnika (ang. cache poisoning) posledica napada pa je bila lahko uspešna izvedba ribarjenja (tim. phishing).
Vendar pa je omenjeno pomanjkljivost v DNS protokolu izkoristiti tudi za prikrito povezovanje v internet, kar na primer omogoča program NSTX. Ta teden pa je Landon Fuller napisal podoben programček ki omogoča prikrito komuniciranje preko DNS strežnikov.
DNS zahtevki namreč med drugim vsebujejo zastavico Recursion Desired (RD). Če je zastavica nastavljena na 0, DNS zahtevki ne bodo obravnavani rekurzno, pač pa se bodo servirali iz začasnega pomnilnika DNS sistema. Ravno obratno pa se zgodi v primeru, ko je RD zastavica nastavljena na 1.
Preko DNS je mogoče komunicirati tako, da pošiljatelj DNS-u pošlje zahtevek z RD nastavljenim na 1. DNS nato izvede poizvedbo. Prejemnik nato pošlje isti zahtevek z RD nastavljenim na 0. Če dobi veljaven odgovor, je prejel vrednost 1, če pa odgovora ne dobi, pa je prejel vrednost 0. Na ta način si je mogoče preko DNS strežnika izmenjevati posamezne bite.
Fullerjev program NSDK je napisan v Pythonu in omogoča preprosto, pterdvsem pa prikrito izmenjavo kratkih sporočil preko DNS sistema.
Ker je takšna izmenjava sporočil prikrita, bodo idejo slej ko prej zlorabili teroristi. Zato je najbolje, da čim prej prepovemo uporabo DNS-a...
Novice » Zasebnost » Uporaba DNS-a za (prikrito) komuniciranje
Poldi112 ::
Ko so enkrat o tem novice je "prikrito" že zgodovina.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Jumping Jack ::
Super ideja.
Na en popolnoma neuporabljan IPv4 DNS strežnik lahko na ta način statično shranimo za 512 MB podatkov (teoretično; v praksi DNS strežniki verjetno ne dovoljujejo poizvedb po celotnem IP naslovnem prostoru), ki jo lahko naenkrat "downloada" neskončno število odjemalcev. Prenos večje količine podatkov, sploh s strani več odjemalcev, bi bil bolj kompliciran in DNS bi moral biti nastavljen tako, da bi precej pogosto brisal cache (ali pa bi morali uporabiti večje število DNS strežnikov). Bi pa bilo verjetno možno narediti torrent tracker, ki bi bil zakamufliran kot DNS strežnik. Število in vzorci DNS poizvedb verjetno sploh ne bi bili sumljivi
Na en popolnoma neuporabljan IPv4 DNS strežnik lahko na ta način statično shranimo za 512 MB podatkov (teoretično; v praksi DNS strežniki verjetno ne dovoljujejo poizvedb po celotnem IP naslovnem prostoru), ki jo lahko naenkrat "downloada" neskončno število odjemalcev. Prenos večje količine podatkov, sploh s strani več odjemalcev, bi bil bolj kompliciran in DNS bi moral biti nastavljen tako, da bi precej pogosto brisal cache (ali pa bi morali uporabiti večje število DNS strežnikov). Bi pa bilo verjetno možno narediti torrent tracker, ki bi bil zakamufliran kot DNS strežnik. Število in vzorci DNS poizvedb verjetno sploh ne bi bili sumljivi
Jumping Jack ::
Še to: Ker gre tu za security through obscurity (podatki so načeloma na voljo vsem), teroristom in vsem, ki "imajo kaj skrivati" kljub uporabi te metode svetujem še uporabo enkripcije in drugih metod za varovanje zasebnih podatkov.
Zgodovina sprememb…
- spremenil: Jumping Jack ()
fiction ::
RD abuse je zakompliciran nacin za prenos in hranjenje izredno majhne kolicine podatkov (pomoje tukaj govorimo o par KB, ne o MB), ampak vseeno je ideja precej zanimiva. Omeniti je treba, da deluje samo na DNS strezniku z wildcard zoni. Torej, da lahko vprasas whatever.domena.si pa vseeno dobis odgovor. Premajhen cache ali izbris (recimo zaradi ponovnega zagona streznika) pomeni totalno pokvarjeno sporocilo.
Poleg tega je treba imeti sinhroniziran seznam domen, ki se bodo za vsak bit uporabljale. Edina prednost, ki jo vidim je, da prejemnik in posiljatelj nikoli ne komunicirata direktno (imata pa deljeno skrivnost). Ampak veliko lazje je uporabiti pastebin in tja shraniti "nakljucen" seznam besed. Ali pa recimo steganografija in slika na shrani.si.
NSTX je cisto druga stvar, tunneliranje IP prometa preko DNS. Npr. ko si na letaliscu priklopljen z laptopom na WLAN omrezje za katerega bi bilo treba placati pa odkrijes, da v bistvu DNS zahtevki se vseeno delujejo. Ce imas doma tak "fake" DNS streznik lahko preko tega dostopas zastonj do interneta. No v bistvu vse skupaj deluje lahko tudi, ce smes uporabljati samo ponudnikov streznik. Odjemalec mu bo poslal tako zahtevo, da bo moral vprasati tvoj domac streznik. Tako v bistvu spet odtekajo podatki kljub tvoji omejeni zmoznosti uporabe WLANa, odgovor bo pa tudi lepo prisel nazaj do tvojega laptopa.
Po logiki je to goljufija, ampak ne vem pa kako je s pravnega vidika. Tole namrec ni cisto isto kot uporaba odprtega WLAN-a.
Nobena od teh zadev ne izkorisca cisto nobene ranljivosti, ampak sam princip delovanja DNS.
Poleg tega je treba imeti sinhroniziran seznam domen, ki se bodo za vsak bit uporabljale. Edina prednost, ki jo vidim je, da prejemnik in posiljatelj nikoli ne komunicirata direktno (imata pa deljeno skrivnost). Ampak veliko lazje je uporabiti pastebin in tja shraniti "nakljucen" seznam besed. Ali pa recimo steganografija in slika na shrani.si.
NSTX je cisto druga stvar, tunneliranje IP prometa preko DNS. Npr. ko si na letaliscu priklopljen z laptopom na WLAN omrezje za katerega bi bilo treba placati pa odkrijes, da v bistvu DNS zahtevki se vseeno delujejo. Ce imas doma tak "fake" DNS streznik lahko preko tega dostopas zastonj do interneta. No v bistvu vse skupaj deluje lahko tudi, ce smes uporabljati samo ponudnikov streznik. Odjemalec mu bo poslal tako zahtevo, da bo moral vprasati tvoj domac streznik. Tako v bistvu spet odtekajo podatki kljub tvoji omejeni zmoznosti uporabe WLANa, odgovor bo pa tudi lepo prisel nazaj do tvojega laptopa.
Po logiki je to goljufija, ampak ne vem pa kako je s pravnega vidika. Tole namrec ni cisto isto kot uporaba odprtega WLAN-a.
Nobena od teh zadev ne izkorisca cisto nobene ranljivosti, ampak sam princip delovanja DNS.
Zgodovina sprememb…
- spremenil: fiction ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | DNS: .si tld, register, registrarji in postopki (strani: 1 2 )Oddelek: Omrežja in internet | 5064 (5064) | jype |
| » | Razlika med www in httpOddelek: Omrežja in internet | 1322 (1041) | Bakunin |
| » | DNS server - vprašanjeOddelek: Omrežja in internet | 3424 (3174) | ABX |
| » | Uporaba DNS-a za (prikrito) komuniciranjeOddelek: Novice / Zasebnost | 4172 (3580) | fiction |
| » | DNS amplification DDoS napadOddelek: Novice / Varnost | 5669 (4397) | jype |