Re: [Hackmeeting] l'eterna lotta tra il male e l'ignoranza s…

Delete this message

Reply to this message
Autor: vecna
Data:  
Para: hackmeeting
Tópicos Antigos: Re: [Hackmeeting] prehackit
Assunto: Re: [Hackmeeting] l'eterna lotta tra il male e l'ignoranza sul dns
gizero wrote:

> presumo si riferisse a questa notizia:
> http://punto-informatico.it/2350066/PI/News/DNS-bacati--Internet-a-
> rischio/p.aspx
>
> che pero' e' sui giornali da almeno 3 giorni


questa notizia si appoggia a quello che tristemente avviene nella grande
catena di incomprensione che c'e' tra l'underground - la sicurezza
informatica - i blogger della sicurezza informatica - i manager isterici
della sicurezza informatica - il mondo dell'IT.


praticamente i dns erano vulnerabili da sempre, l'hanno scritto in molti
versi gli ADM nel 1999, poi lcamtuf l'ha accennato implicitamente, anche
se si stava dedicando alla vera radice del problema (strange attractor
in tcp sequence number) poi nel 2001 ha fatto l'analisi di richiamo. poi
nel 2002 qualcuno (ofir, forse ?) ha scritto un paper in cui ricordava
che da molti anni esiste questo paradosso statistico:
http://en.wikipedia.org/wiki/Birthday_Paradox (citato da uno dei primi
worm in ajax, ma mai funzionato a dovere) che poteva essere usato
proprio per far dns hijacking.

mai nessuno si implemento' l'attacco per bene, perche' dire "questa
generazione di numero casuali e' vulnerabile" e' ben piu' facile che
dire "i prossimi numeri casuali saranno: $X $Y $K".

poi nel 2002 scrissi anch'io una roba che faceva tftp spoofing con lo
stesso gradi di complessita'/bruteforce necessaria a hijackare i DNS, ma
chi se ne fregava di implementarlo sul dns ? era roba gia' fatta.

poi e' stato ancora dimenticato. poi quando qualcuno voleva diventare
famoso, oltre che al problema del phishing ha detto "esiste anche il
pharming" senza che nessuno capisse cosa fosse. ecco, il pharming
sarebbe stato questo, se fosse stato usato. ma mancava il tool che con
doppio click ti facesse fare dns hijacking.

adesso e' arrivato uno (kaminsky, famoso per scrivere cose gia' detto,
ma scrivendole meglio) che si e' preso lo sbattimento di implementare
tool altrimenti avviati con linee di comando tipo:

./dnshij 194.200.2.1 194.33.22.1 "www.hackmeeting.org" 2342443 43542
24543532 10t

con la comoda interfaccia grafica. anzi, forse neppure fa domain
hijacking, pero' dice "hey, potrei farlo, HAAHAHAH!" e il security
engineer che trascina il suo file .dmg in "Applications" (o installa
compulsivamente gli eseguibili che gli arrivano in mail) puo' andare dal
suo capo e dirgli cose tipo:

"omfg, our dns should be compomised and anal defaced. our company had
serious business risks, treat me as your blue genie, gimme three milions
dollar and I solve one of yoor wishes, arigaro'!"

o qualche minchiata simile, analogamente mal scritta.

hanno pero' fatto una bella figura (o almeno cosi' fanno apparire),
facendo quello che e' stato definito:

"This is the largest synchronized security update in the history of the
Internet, and is the result of hard work and dedication across dozens of
organizations. "

cosi' da potersi far pippe da qui al prossimo worm.

w la sicurezza informatica! siamo nel 2008, il business sta calando da
quando i programmatori hanno un sistema operativo piu' difficile da
exploitare. (era ora ?), qualcosa dal cilindro doveva pur uscire.
scommettiamo che tra un po' uscira' un sistema per leggere i dati
tramite google, guessare qual'e' la tua password e da li' "allarme
generale, mobilitiamo l'universo verso l'uso delle one time key, o
meglio ancora, anche se non risolve la situazione, usate openID, cosi'
sara' piu' facile per noi capire chi cazzo siete e che cazzo fate,
utenti infidi"

(in questa mail e' possibile ci siano contenuti poco chiari, sono
disponibile a spiegarli se dovesse interessare)

ciao,
vecna