[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Fernando Gont
fgont en si6networks.com
Mie Ene 27 13:19:15 BRST 2016
Hola, Luis,
On 01/27/2016 11:59 AM, Espinoza Sanchez, Luis Diego wrote:
> Fernando, el DNS en si, es de las tecnologías mas baratas de
> mantener, el costo de DNSSEC es marginal comparado con el costo de
> implementar tecnologías similares en otras aplicaciones.
>
> En realidad, desde un punto de vista de costo/beneficio, que parece
> que es la forma en que quieres plantearlo, si se ve como una medida
> para contrarrestar ataques de algún tipo ya que en algún momento se
> hablaba del envenenamiento de cache, y eso asusto a mas de uno a
> correr a implementar DNSSEC, pero luego que paso la tormenta, queda
> el tema de analizar en frío la tecnología y lo que aporta.
>
> Ahora lo veo como un mecanismo de mitigación de riesgos. Diría que un
> bajo nivel de posibilidad de ocurrencia, pero que en caso de ocurrir
> el impacto es alto para algunos, esto dependiendo de la organización
> obviamente. Un deface del sitio web transaccional de un banco tiene
> un impacto diferente al del sitio web de la facultad de matemáticas
> de una universidad. Para un banco, pagar por un mecanismo que ayude a
> mitigar el riesgo de suplantación del sitio web, podría justificarse
> perfectamente.
Podes describir un escenario de ataque en el cual DNSSEC serviria paa
mitigar ese riesgo, y para el cual no exista otra variedad de ataque
igual o mas simple, para lograr lo mismo o algo similar?
> Ojo que dice “ayudar a mitigar”, no estoy diciendo que
> mitiga al 100%., igual perfectamente se puede presentar como un caso
> de inversion y rentable desde el punto de vista de protección de la
> credibilidad del banco.
Realmente? La gente sabe, y hasta por ahi de TLS por el candadito que
les aparece en el navegador. No existe tal cosa para DNSSEC. Simple: si
me preguntaras "tu banco soporta dnssec?", te diria "ni idea... tendria
que probar" (impliicando esto 'dig' o similares... lo cual es chino
basico para todo usuario comun).
Abrazo,
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución Seguridad