Faille DNS : des détails techniques révélés accidentellement

Le par  |  11 commentaire(s)
faille

Des détails techniques relatifs à la fameuse faille DNS qui a fait la une de la presse en début de mois ont été publiés par accident sur un blog consacré à la sécurité informatique.

failleOn attribue à Dan Kaminsky, responsable des tests d'intrusion chez IOActive, la découverte d'une vulnérabilité DNS qui aurait pu mettre à mal l'Internet mondial. Un certain mystère plane encore sur cette faille, et des spécialistes de la sécurité informatique qui commencent à s'interroger sur sa réelle dangerosité, attendent avec impatience la prochaine conférence Black Hat de Las Vegas au cours de laquelle Kaminsky a prévu de divulguer des détails techniques. A l'approche de ce rendez-vous, ce dernier a d'ailleurs demandé à ses pairs du domaine de la sécurité informatique de ne pas spéculer à ce sujet. Une recommandation qui n'a pas été du goût de tous.

En début de semaine, Halver Flake, spécialiste du reverse engineering et PDG de Zynamics, a donc commencé à... spéculer dans un billet publié sur le blog ADD / XOR / ROL. Etrangement, un chercheur de la société Matasano Security parfaitement au courant des tenants et aboutissants de la fameuse faille DNS qui a demandé une large collaboration pour l'élaboration d'un correctif, ou du moins son déploiement, n'a pu se résoudre à tenir sa langue et a donné du crédit à certaines hypothèses émises par Flake dans le cadre d'un billet posté cette fois-ci sur le blog de Matasano. Il a ainsi indiqué que Flake avait compris la vulnérabilité de Kaminsky.

Une terrible erreur selon Matasano qui a retiré le plus vite possible son billet. Trop tard, la nouvelle s'est vite répandue et les caches sont entrés en action. Regrettant cette boulette interne, Matasano a présenté ses excuses à Kaminsky dont les annonces n'auront probablement pas la même saveur à la conférence Black Hat.

Plus que jamais, il convient donc d'appliquer les correctifs prodigués dans le cadre de mises à jour par différents éditeurs dont Microsoft. Rappelons que la dite vulnérabilité exploitable via une attaque par DNS cache poisoning peut permettre de rediriger le trafic Web et mail vers un système sous contrôle d'un pirate. Les serveurs DNS qui font le lien entre une adresse IP et un nom de domaine, disposent d'un cache pour garder en mémoire ces informations. La vulnérabilité permet " d'empoisonner ce cache " pour mettre en mémoire des informations erronées.


Patch. Today. Now.
De son côté,  suite à cette histoire, Dan Kaminsky ordonne de patcher " aujourd'hui ", " maintenant ". Il a mis en ligne un test (DNS Checker) pour vérifier si la vulnérabilité a été comblée ou non (par son FAI par exemple), et conseille le cas échéant d'en passer par OpenDNS afin d'orienter le trafic Internet.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #281581

publiée par erreur... mais bien sur !

Le #281641
C'est pas comme si c'était un fichier à uploader et qu'on se trompe dans une liste avec un nom similaire.
Il faut vraiment avoir voulu publier ce genre d'information, sous forme rédigée...
Le #281731
Vous savez lire ? L'article est pourtant bien clair. La faille n'a pas été publiée par erreur par quelqu'un qui la connaissait. Le fait est qu'une personne qui ne connaissait pas cette faille est allé émettre une théorie sur le blog d'un de ceux qui était dans la confidence. Et le fait est que cette théorie était bonne. Et que celui qui savait n'a pas su tenir son clavier, il a dit : "oui, c'est ça". Juste avant d'effacer le commentaire, quelques secondes après. C'est des choses qui arrivent. Dans le feu de l'action, on se rend pas compte qu'on est sur internet, là où une info se diffuse en quelques secondes et non pas au bistrot du coin en train de bavarder entre copains..
Anonyme
Le #281781

Merci mais nous savons lire
Désolé mais ce n'est pas un erreur que de confirmer une chose ! Il l'a fait volontairement en toute connaissance de cause

Feu de l'action ou pas, si on est professionnel (et encore plus pour un expert mondial détenteur du secret) on doit prendre le temps de la réflexion


Le #281841
très interessant tout ça... et un brin flippant non ?

Mais y'a tout de même une question qui me tarabuste...

Comment est ce que le test arrive à me sortir que les DNS que j'utilise sont ceux de free...? j'vois pas !

Certes le serveur distant connait mon IP, et donc peut voir que mon reverse dns se finit en "proxad.net" ... et donc que que j'ai une connexion Free.
Mais c'est pas pour autant que je passe forcémment par les DNS de Free (même si c'est présentement le cas), je peux très bien en utiliser d'autres...
A moins qu'il ne fasse l'amalgame "free = tel serveur dns" mais la c'est un peux naze donc ca m'étonnerait

merci


edit: pour m'amuser et vérifer, j'ai changé mes DNS en local dans mon resolv.conf afin de remplacer l'IP de mon routeur (IPcop powa ) par celles d'openDNS
Puis retour sur doxpara.com, cliquage sur le bouton "Check my dns"
Et la... il confirme que j'utilise bien openDNS !

Raaaaaaaah ! mais comment se fesse ?!
Le #281861
ou est le prob ?
ton pc fait une requete sur le server DNS de free, qui lui va faire une requete sur le site de test.
Donc la source de la requete c'est le DNS de free ...
Le #282021
Asriel tu as surement cherché une explication compliquée ... tu vas être déçu de la simplicité

Le logiciel de "test" est mis sur un dns autorité, imaginons generation-nt.com par exemple. Lors de ta vérification, le test va rechercher une (chaine aléatoire).generation-nt.com ( AZUASAISUA8Z9A.generation-nt.com ) et donc interroger "generation-nt.com" pour savoir quelle ip a la machine AZUASAISUA8Z9A. Donc la machine qui a contacté generation-nt.com pour résoudre AZUASAISUA8Z9A est connue, ce n'est pas ton ordinateur mais ton serveur DNS.

Ceci explicant cela, le DNS de ton fai est en fait une grappe de machine, ce qui peut expliquer qu'a quelques minutes d'intervalle l'ip du DNS détecté change.
Le #282081
KerTiaM >Effectivement, si il peut jouer avec un DNS autoritaire, ça facilite tout de suite les choses
fallait le savoir... merci
Le #282241
fallait le savoir ... fallait lire surtout ...
C'est sur qu'il trouve pas l'adresse par télépathie, il faut bien qqch a la base ...
Le #282261
trictrac >quoi quoi quoi ? on m'aurait menti ? les serveurs ne sont PAS télépathes ???
ben mince, pour la peine chuis décu ...



ps: j'avais tout de même cherché un peu, lu quelques articles sur doxpara... mais apparemment pas le bon
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]