[lacnog] Taking over a whole TLD with targeted registrations
Robert MARTIN-LEGENE
robert en pch.net
Lun Jul 10 18:48:38 BRT 2017
El problema en .NA fue algo parecido. Tambien habla de DNSSEC, aunque el
defecto no fue abusado.
Del ICANN59 junio 26 2017:
Agenda: https://schedule.icann.org/event/4ea028bbc0e626bb5adeae342890a04e
PDF:
http://schd.ws/hosted_files/icann59johannesburg2017/1d/9%20Consequences%20-.pdf
Audio:
http://audio.icann.org/meetings/jnb59/jnb59-OPEN-2017-06-26-T1302-ballroom3-Zbj46Ye79HSlI1ed1xqPzqzi91Az4i93-en.m3u
(de 1h29m25s)
On 07/10/2017 05:58 PM, Carlos M. Martinez wrote:
> Hola!
>
> Si, yo entiendo el ataque de la misma manera.
>
> Hace un tiempo pasó algo similar con .na creo, aunque no se los detalles.
>
> s2
>
> C.
>
> On 10 Jul 2017, at 17:46, Hugo Salgado-Hernández wrote:
>
>> Por lo que pude ver, sospecho que el problema fue que IO utiliza
>> esos NS como "glue records" dentro de la zona IO, pero olvidó
>> bloquear el dominio para los registrars, dejando que se delegara
>> normalmente. El problema es que al delegarse se podía "sobreescribir"
>> la IP, ya que el hijo tiene la autoridad sobre el padre.
>>
>> Lástima que no hubiéramos visto más detalles en ese momento, pero
>> ahora el whois dice que el dominio está bloqueado, y no está
>> delegado. Si el investigador dice que vió tráfico, entonces
>> claramente sucedió!
>>
>> Efectivamente DNSSEC nos protegió a todos los que validamos. Si
>> el investigador hubiera empezado a responder con dominios falsos,
>> y esos dominios estaban firmados, habría fallado la cadena desde
>> la llave raíz.
>>
>> Saludos,
>>
>> Hugo
>>
>>
>> On 14:14 10/07, Carlos M. Martinez wrote:
>>> Bueno, para los que por ahí siguen dudando de los beneficios de
>>> empezar a
>>> validar DNSSEC ya:
>>>
>>> https://thehackerblog.com/the-io-error-taking-control-of-all-io-domains-with-a-targeted-registration/index.html
>>>
>>>
>>> Validen DNSSEC hoy. Son 3 lineas de configuración en cualquier bind
>>> nuevo, y
>>> la carga de CPU adicional es marginal. Y poner recursivos
>>> adicionales es muy
>>> fácil de hacer.
>>>
>>> s2
>>>
>>> C.
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
--
Robert MARTIN-LEGENE
Internet Infrastructure Specialist
Packet Clearing House
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 801 bytes
Desc: OpenPGP digital signature
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20170710/b7bae0d8/attachment.sig>
Más información sobre la lista de distribución LACNOG