[lacnog] Taking over a whole TLD with targeted registrations

Hugo Salgado-Hernández hsalgado en nic.cl
Lun Jul 10 18:57:22 BRT 2017


De hecho fue el mismo investigador, basado en la misma herramienta
para revisar las dependencias "en profundidad" de los TLDs:

<https://thehackerblog.com/the-journey-to-hijacking-a-countrys-tld-the-hidden-risks-of-domain-extensions/index.html>

El caso de .NA fue un dominio donde expiró su proveedor de DNS,
y se podía reinscribir a nombre de un tercero, sin verificar si era
el titular del dominio!

Hugo

On 18:48 10/07, Robert MARTIN-LEGENE wrote:
> El problema en .NA fue algo parecido. Tambien habla de DNSSEC, aunque el
> defecto no fue abusado.
> 
> Del ICANN59 junio 26 2017:
> Agenda: https://schedule.icann.org/event/4ea028bbc0e626bb5adeae342890a04e
> PDF:
> http://schd.ws/hosted_files/icann59johannesburg2017/1d/9%20Consequences%20-.pdf
> Audio:
> http://audio.icann.org/meetings/jnb59/jnb59-OPEN-2017-06-26-T1302-ballroom3-Zbj46Ye79HSlI1ed1xqPzqzi91Az4i93-en.m3u
> (de 1h29m25s)
> 
> 
> On 07/10/2017 05:58 PM, Carlos M. Martinez wrote:
> > Hola!
> >
> > Si, yo entiendo el ataque de la misma manera.
> >
> > Hace un tiempo pasó algo similar con .na creo, aunque no se los detalles.
> >
> > s2
> >
> > C.
> >
> > On 10 Jul 2017, at 17:46, Hugo Salgado-Hernández wrote:
> >
> >> Por lo que pude ver, sospecho que el problema fue que IO utiliza
> >> esos NS como "glue records" dentro de la zona IO, pero olvidó
> >> bloquear el dominio para los registrars, dejando que se delegara
> >> normalmente. El problema es que al delegarse se podía "sobreescribir"
> >> la IP, ya que el hijo tiene la autoridad sobre el padre.
> >>
> >> Lástima que no hubiéramos visto más detalles en ese momento, pero
> >> ahora el whois dice que el dominio está bloqueado, y no está
> >> delegado. Si el investigador dice que vió tráfico, entonces
> >> claramente sucedió!
> >>
> >> Efectivamente DNSSEC nos protegió a todos los que validamos. Si
> >> el investigador hubiera empezado a responder con dominios falsos,
> >> y esos dominios estaban firmados, habría fallado la cadena desde
> >> la llave raíz.
> >>
> >> Saludos,
> >>
> >> Hugo
> >>
> >>
> >> On 14:14 10/07, Carlos M. Martinez wrote:
> >>> Bueno, para los que por ahí siguen dudando de los beneficios de
> >>> empezar a
> >>> validar DNSSEC ya:
> >>>
> >>> https://thehackerblog.com/the-io-error-taking-control-of-all-io-domains-with-a-targeted-registration/index.html
> >>>
> >>>
> >>> Validen DNSSEC hoy. Son 3 lineas de configuración en cualquier bind
> >>> nuevo, y
> >>> la carga de CPU adicional es marginal. Y poner recursivos
> >>> adicionales es muy
> >>> fácil de hacer.
> >>>
> >>> s2
> >>>
> >>> C.
> >>> _______________________________________________
> >>> LACNOG mailing list
> >>> LACNOG en lacnic.net
> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 
> -- 
> Robert MARTIN-LEGENE
> Internet Infrastructure Specialist
> Packet Clearing House
> 
> 




> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 801 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20170710/5a7c7a26/attachment.sig>


Más información sobre la lista de distribución LACNOG