[lacnog] Taking over a whole TLD with targeted registrations

Fernando Gont fgont en si6networks.com
Mar Jul 11 03:38:55 BRT 2017


On 07/10/2017 11:46 PM, Hugo Salgado-Hernández wrote:
> Por lo que pude ver, sospecho que el problema fue que IO utiliza
> esos NS como "glue records" dentro de la zona IO, pero olvidó
> bloquear el dominio para los registrars, dejando que se delegara
> normalmente. El problema es que al delegarse se podía "sobreescribir"
> la IP, ya que el hijo tiene la autoridad sobre el padre.

Lo mire rapido y por encima. Lo que parece es que tenian dentro de los
NS un dominio que habia expirado, y por ende alguien podia registrarlo.

Esto creo que es un error tan grosero que...



> Lástima que no hubiéramos visto más detalles en ese momento, pero
> ahora el whois dice que el dominio está bloqueado, y no está
> delegado. Si el investigador dice que vió tráfico, entonces
> claramente sucedió!
> 
> Efectivamente DNSSEC nos protegió a todos los que validamos. Si
> el investigador hubiera empezado a responder con dominios falsos,
> y esos dominios estaban firmados, habría fallado la cadena desde
> la llave raíz.

Sin tomar posicion en si sobre el despliegue de DNSsec, mi pregunta es:

Para casi todo uso del dominio que te importe hacerlo de manera segura,
en cualquier caso, usarias SSL, que al fin y al cabo "protege" la
información "extremo a extremo". En cuyo caso, que compraste "extra" con
DNSsec?

Un ataque como el descripto -- dejando de lado el error grosero en
cuestion -- es una ariante mas de MITM (man in the middle), que podría
ocurrir en variedad de formas -- al fin y al cabo, tu propio ISP podría
hacerlo sin problemas. Dado que por ejemplos estos no se mitigan con
DNSsec, la pregunta es, a la practica, cuanta diferencia real/efectiva
hubiera hecho el despliegue de DNSsec.

Slds, y gracias!
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







Más información sobre la lista de distribución LACNOG