tag:blogger.com,1999:blog-21555208.post8667173268829275439..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: El caso del DNS y la díscola señoraChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-21555208.post-45810064626509685512008-07-28T21:11:00.000+02:002008-07-28T21:11:00.000+02:00gracias por el post, aunque tarde es de lo mejor q...gracias por el post, aunque tarde es de lo mejor que hay por ahí en la lengua de Cervantes... ves qe fácil sin flames?? xDDDDD<BR/><BR/>Preveo tormenta pa mañana, dos días seguidos sin tirar piedras ya sería mucho jajajaaj<BR/><BR/>Saludos!<BR/><BR/>Wi®<BR/><BR/>PD: Kaminsky y la novia de nosequien me deben cuatro horas extra esta semana de mi curro , grrr cabroneees xDDDDDAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-45454232700764812102008-07-28T19:08:00.000+02:002008-07-28T19:08:00.000+02:00Maligno eres un cielo. Pena que yo sea un hombre h...Maligno eres un cielo. Pena que yo sea un hombre hetereosexual sino te daría un beso.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-36110535996099648202008-07-28T19:03:00.000+02:002008-07-28T19:03:00.000+02:00@anonimo, retos up!! hemos cambiado la ubicación d...@anonimo, retos up!! hemos cambiado la ubicación de las máquinas virtuales. Todas están listas. ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-46351131025666809312008-07-28T18:02:00.000+02:002008-07-28T18:02:00.000+02:00@dreyer, llevas toda la razón.@tayoken, ya hay uno...@dreyer, llevas toda la razón.<BR/><BR/>@tayoken, ya hay unos activex "muy graciosos" circulando por ahí.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-36950519168212495352008-07-28T17:53:00.000+02:002008-07-28T17:53:00.000+02:00@malignoSe que envias muchas, hice un PoC cuando s...@maligno<BR/><BR/>Se que envias muchas, hice un PoC cuando se publicaron los detalles, pero esto es _1_ a muchas. El birthday attack es un ataque N-M. <BR/><BR/>No hay birthday attack porque las posibilidades no son cruzadas. Tienes una respuesta en el aire, y respondes con unas cuantas posibilidades.<BR/><BR/>Birthday attack existia cuando podias tener varias preguntas en el aire para el mismo dominio con diferentes QIDS. <BR/><BR/>Cosa que en el pasado se ha dado en algunos casos. Ie: <BR/><BR/>http://archive.cert.uni-stuttgart.de/bugtraq/2003/04/msg00311.html<BR/><BR/>http://securityvulns.com/news2773.htmlAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71058914597337589292008-07-28T17:44:00.000+02:002008-07-28T17:44:00.000+02:00Por lo que explica Kaminsky en su web la posibilid...Por lo que explica Kaminsky en su web la posibilidad de acierto es de 1 entre 65536 cada intento (pudiendo hacer muchos intentos por segundo).<BR/><BR/>Y tras el parche es de 1 entre dos mil millones (algo así será: 2147483648), vamos, que ha cambiado el QID de int a word.<BR/><BR/>Lo que me "preocupa" es que en lo único que confía es en el "ruido" que hará un ataque de este tipo, ya que no sé yo hasta qué punto estarán todos igual de concienciados que él... de hecho, hoy por hoy un ataque así ya debería hacer mucho "ruido".Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-53093065188355990902008-07-28T17:31:00.000+02:002008-07-28T17:31:00.000+02:00@dreyer, funciona como tú dices, pero por cada pet...@dreyer, funciona como tú dices, pero por cada petición de tumierda1.elladodelmal.com realiza muchas peticiones de respuesta posible del DNS intentando averiguar el QID, algo similar al Birthday date.<BR/><BR/>SAludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-51697335957258883102008-07-28T17:14:00.000+02:002008-07-28T17:14:00.000+02:00Roman tiene razon, normalmente se devuelve un NXDO...Roman tiene razon, normalmente se devuelve un NXDOMAIN que cachea la respuesta negativa. Si no no haria falta toda esta parafernalia puesto que tendrias infinitos intentos sin espera para hacertar el QID (una vez la entrada expire).<BR/><BR/>Lo importante no es que sea mas tiempo o menos. El tema aqui es ir preguntando tumierda1.lala.com, e intentar acertar por pura chorra el QID (con el additional record para que si funciona se lo trague). Que no aciertas, pues lo haces con tumierda2.lala.com. Al final acertaras y se tragara de paso la informacion extra (siempre que cumpla el bailiwick check). Como tumierda1.lala.com y tumierdaX.lala.com no estaban en cache se ira a preguntarlos, por lo tanto tienes infinitos intentos.<BR/><BR/>Por cierto, aqui no hay birthday attack porque solo hay una pregunta en el aire que puedes intentar acertar.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-24631051974115506702008-07-28T17:03:00.000+02:002008-07-28T17:03:00.000+02:00Chema, no tira el reto VIII desde hace unos días, ...Chema, no tira el reto VIII desde hace unos días, ¿está cerrado?<BR/><BR/>saludosAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-90335376189531031202008-07-28T16:45:00.000+02:002008-07-28T16:45:00.000+02:00¿Coño no era que los informáticos no ligaban? ¿Y e...¿Coño no era que los informáticos no ligaban? ¿Y este tío tiene novia?<BR/><BR/>Esto no te pasará a ti chemaCuidadorDeDelfines.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-17032315632865628802008-07-28T16:37:00.000+02:002008-07-28T16:37:00.000+02:00Bueno, en el pecado está la penitencia.En las Pwni...Bueno, en el pecado está la penitencia.<BR/><BR/>En las <A HREF="http://pwnie-awards.org/2008/info.html" REL="nofollow">Pwnie Awards</A> que se repartirán el 6 de agosto en Las Vegas, tenemos nominado como "Pwnie for Most Overhyped Bug" (al bug más sobrevalorado) el del DNS de Kaminsky. Se valora más si es imposible de utilizar en la práctica.<BR/><BR/>En el "Pwnie for Mass 0wnage" (al más utilizable y explosivo) aparece entre otros tu colega Luciano Bello.<BR/><BR/>De todas formas Kaminsky es la leche porque también está en esta última nominación y en la "Best Client-Side Bug".Aitor Iriartehttps://www.blogger.com/profile/06017250113197998655noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-88962547882518064422008-07-28T12:39:00.000+02:002008-07-28T12:39:00.000+02:00@romansonft: sí que responde, NXDOMAIN de toda la ...@romansonft: sí que responde, NXDOMAIN de toda la vida xD de hecho es parte del truco, o eso entiendo yo: te pones a hacer queries DNS de dominios inexistentes a saco, averiguas el algoritmo para genera los QIDs, y cuando lo sacas, bombardeas con respuestas con el flag RR activado y voilà, a poisonear.<BR/><BR/>Lo que ha hecho Matasano a mi me parece deleznable.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28492698416050691182008-07-28T10:46:00.000+02:002008-07-28T10:46:00.000+02:00@Maligno: Ya era hora de que hablásemos del envene...@Maligno: Ya era hora de que hablásemos del envenenamiento DNS!!!! empezaba a creer que te habían recomendado discreción, porque mira que has tardado en sacar el tema :)<BR/><BR/>Me parece una guarradilla lo que le han hecho a Kaminsky (por no decir una putada muy gorda) pero era cuestión de tiempo... el error hubiese sido igual de importante si no lo hubiese presentado en la blackhat, pero claro, como nos gusta más ser la reina de la fiesta que a Paris Hilton... Y no digo que no mereciese ser la reina de la fiesta, pero era un riesgo que asumió, y le salió mal.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28676282930655218332008-07-28T10:42:00.000+02:002008-07-28T10:42:00.000+02:00¿Seguro que no responde el dns si le pides una ent...¿Seguro que no responde el dns si le pides una entrada incorrecta? Yo creo que sí respondería como un "non existant domain"...<BR/><BR/>-rAnonymousnoreply@blogger.com