Slo-Tech - Evropska agencija za zdravje in digitalno tehnologijo (HaDEA) je minuli teden predstavila predlog za vzpostavitev evropske infrastrukture za razreševalnike DNS, ki bi bili namenjeni javnim, poslovnim in zasebnim uporabnikom interneta v Evropski uniji. DNS4EU bi bil varen in bi v celoti upošteval Splošno uredbo (GDPR). Osnovna storitev bi bila brezplačna.

DNS4EU je trenutni v fazi razpisa. V EU se je pojavila zaskrbljenost, ker se trg konsolidira okoli ponudnikov izven EU, kar Unijo postavlja v odvisen položaj. Infrastrukturni projekt DNS4EU želi to odpraviti. Druga razloga sta še kibernetska varnost in zasebnost. Evropska komisija je že decembra izrazila željo po suverenem DNS.

DNS4EU bi vseboval tudi filtriranje, ki bi omogočalo blokado dostopa (na nivoju razreševanja DNS) do domen na črnem seznamu, denimo takih z malwarom, ribarskimi poizkusi in drugimi grožnjami. Te sezname bi sestavljali nacionalni CERT (to je en scenarij). Dodatne blokade bi se oblikovale po sodnih...

Heise - V Švici je že nekaj časa prepovedano posedovanje trde pornografije, med katero uvrščajo otroško, živalsko in nasilno pornografijo. Zvezno sodišče v Lausanni je v kontroverzni sodbi, ki je bila javno objavljena ta teden, razsodilo, da se kot posedovane štejejo tudi vsebine v začasnem pomnilniku brskalnika (browser cache), če so izpolnjeni nekateri pogoji.
Sodišče je obravnavalo primer, ko so med začasnimi datotekami brskalnika našli pornografijo, ki vključuje tudi živali. Pornografijo si je obtoženi le ogledal in je ni ročno shranil na trdi disk, ampak je to zanj storil spletni brskalnik (da bi pohitril kasnejše oglede iste spletne strani); posledično je sodišče presojalo, ali obstoj vsebin v začasnem pomnilniku...

Google - Google na svojem blogu piše o predlagani nadgraditvi protokola DNS, ki bi po novem v obzir vzela tudi lokacijo uporabnika, ki je poslal zahtevek.

DNS-strežniki prevajajo domene (npr. www.slo-tech.com) v IP-naslove (v 193.164.138.20) in z namenom ustreznega razporejanja prometa uporabnike napotijo na najbližji strežnike, če je na voljo več enakih. To ima pozitivne učinke na hitrost, zakasnitev in izkoriščenost omrežja. Trenutno vrhovni DNS-strežniki vidijo le IP-naslov DNS-resolverja in ne uporabnika. DNS-resolverji so sicer običajno geografsko blizu uporabniku, tako da vrhovni DNS-strežnik najde najbližji strežnik, ni...

Schneier.com - Kot je znano, je raziskovalec Dan Kaminsky pred časom v DNS protokolu odkril resno ranljivost, ki je omogočala izvedbo tim. zastrupljanja predpomnilnika (ang. cache poisoning) posledica napada pa je bila lahko uspešna izvedba ribarjenja (tim. phishing).

Vendar pa je omenjeno pomanjkljivost v DNS protokolu izkoristiti tudi za prikrito povezovanje v internet, kar na primer omogoča program NSTX. Ta teden pa je Landon Fuller napisal podoben programček ki omogoča prikrito komuniciranje preko DNS strežnikov.

DNS zahtevki namreč med drugim vsebujejo zastavico Recursion Desired (RD). Če je zastavica nastavljena na 0, DNS zahtevki ne bodo obravnavani rekurzno, pač pa se bodo servirali iz začasnega pomnilnika DNS sistema. Ravno obratno pa se zgodi v primeru, ko je RD zastavica nastavljena na 1.

Preko DNS je mogoče komunicirati tako, da pošiljatelj DNS-u pošlje zahtevek z RD nastavljenim na 1. DNS nato izvede poizvedbo. Prejemnik nato pošlje isti zahtevek z RD nastavljenim na 0. Če dobi...

Wired Blog - Border Gateway Protocol (BGP) je temeljni usmerjevalni protokol interneta, s pomočjo katerega usmerjevalniki pošiljajo podatkovne pakete od enega IP naslova do drugega. Konec avgusta pa sta Anton "Tony" Kapela ter Alex Pilosov na konferenci DefCon pokazala, kako je mogoče spreminjati pot podatkovnih paketov ter tako neopazno prestrezati internetni promet iz kjerkoli na svetu.

Tehnika seveda ni uporabna za običajne uporabnike interneta, saj je potrebno imeti povezavo na eno izmed internetnih hrbtenic ter BGP usmerjevalnik (ki si ga lahko tudi sami naredite), vendar pa lahko tehniko povsem neopazno izvaja katerakoli vlada ali velika korporacija.

Za kaj gre?

Raziskovalca sta odkrila, da ima BGP protokol že v sami zasnovi nekatere resne pomankljivosti. Glavna težava je v tem, da v BGP protokol ni vgrajenih ustreznih mehanizmov zaupanja. BGP protokol namreč deluje tako, da ko npr. uporabnik v svoj brskalnik vnese naslov spletne strani (npr. www.youtube.com), DNS brskalniku sporoči IP...

Arnes - Kot poročajo številni varnostni portali, med drugim tudi Arnesov SI-CERT in Slashdot je raziskovalec Dan Kaminsky v DNS protokolu odkril resno ranljivost, ki omogočajo izvedbo tim. zastrupljanja predpomnilnika (ang. cache poisoning), posledično pa napadalec lahko s pomočjo DNS predpomnilnika izvede napad z ribarjenjem (tim. phishing).

Kaminsky je o ranljivosti obvestil 81 proizvajalcev programja za DNS strežnike, večina pa jih je danes izdala koordiniran popravek ranljivosti. Podrobnosti o ranljivosti sicer še niso javno znane, jih bo pa Kaminsky objavil avgusta letos na Black Hat konferenci. Na voljo je tudi on-line program za preverjanje ranljivosti vašega DNS-ja.

Pa še opozorilo: poleg nadgradnje DNS programske opreme na vaših strežnikih (če jih imate) pa ne pozabite nadgraditi tudi programske opreme na napravah kot so domači brezžični usmerjevalniki.

Schneier.com - Domain Name System Security Extensions ali DNSSEC je nabor specifikacij za DNS sisteme prihodnjih generacij, ki bodo DNS zahtevke digitalno podpisovali in avtenticirali, z čimer naj bi onemogočili različne oblike zlorab, ki imajo za posledico goljufije in zavajanje uporabnikov s preusmeritvami na lažne spletne strani.

Ideja je vsekakor dobra in bi preprečila številne "phishing" in "pharming" goljufije, pojavila se je le manjša težava. Ameriško ministrstvo za domovinsko varnost si je zaželelo kopije glavnega ključa za korensko DNS cono.

Želja po cenzuri ali po goljufijah?

Slashdot - VeriSign je sporočil, da je bil med januarjem in februarjem 2006, skupaj z ostalimi približno 1500 organizacijami, žrtev DNS amplification oz. DNS reflector DDoS napada.

V "klasičnem" DDoS napadu napadalec uporabi n-število okuženih računalnikov (tim. "zombijev"), ki so najpogosteje povezani v botnet, ter nato v koordiniranem napadu na žrtvin IP naslov pošilja ogromno število SYN/UDP/ICMP paketkov (flood).

DRDoS (Distributed Reflector DoS) kakor so nekateri DNS amplification že poimenovali, deluje podobno kakor legendarni smurf napad, torej na principu "ojačevalca" (amplifier). Napadalec na DNS strežnik, kateri omogoča rekurzivno poizvedovanje, pošlje več tisoč ponarejenih DN zahtevkov, strežnik pa nato UDP odgovore (ti so zaradi principa delovanja DNS-ja amplificirani) pošlje na žrtvin naslov. Ranljivi so vsi DNS strežniki, ki imajo omogočeno rekurzivno poizvedovanje t. i. open resolvers.

Neodvisna raziskava, ki jo je izvedel Measurement Factory je pokazala, da je...

Jaz - V Sloveniji smo dobili prvega resnejšega in brezplačnega ponudnika DynDNS servisa, ki je po 10 mesečnem razvoju razvil aplikacijo, ki se lahko kosa z DNS2GO ali DynDNS.Org. Imate dinamičen IP (naprimer ADSL uporabniki) in želite postaviti svoj strežnik, ki bo dosegljiv na naslovu *.streznik.org? Potem je to kot nalašč za vas. Več informacij in potrebno programsko opremo lahko dobite na tem naslovu. Kaj pa zanesljivost? To bo pokazal čas...