[lacnog] Taking over a whole TLD with targeted registrations
Hugo Salgado-Hernández
hsalgado en nic.cl
Lun Jul 10 17:46:20 BRT 2017
Por lo que pude ver, sospecho que el problema fue que IO utiliza
esos NS como "glue records" dentro de la zona IO, pero olvidó
bloquear el dominio para los registrars, dejando que se delegara
normalmente. El problema es que al delegarse se podía "sobreescribir"
la IP, ya que el hijo tiene la autoridad sobre el padre.
Lástima que no hubiéramos visto más detalles en ese momento, pero
ahora el whois dice que el dominio está bloqueado, y no está
delegado. Si el investigador dice que vió tráfico, entonces
claramente sucedió!
Efectivamente DNSSEC nos protegió a todos los que validamos. Si
el investigador hubiera empezado a responder con dominios falsos,
y esos dominios estaban firmados, habría fallado la cadena desde
la llave raíz.
Saludos,
Hugo
On 14:14 10/07, Carlos M. Martinez wrote:
> Bueno, para los que por ahí siguen dudando de los beneficios de empezar a
> validar DNSSEC ya:
>
> https://thehackerblog.com/the-io-error-taking-control-of-all-io-domains-with-a-targeted-registration/index.html
>
> Validen DNSSEC hoy. Son 3 lineas de configuración en cualquier bind nuevo, y
> la carga de CPU adicional es marginal. Y poner recursivos adicionales es muy
> fácil de hacer.
>
> s2
>
> C.
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 801 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20170710/104a9e82/attachment.sig>
Más información sobre la lista de distribución LACNOG