[lacnog] Taking over a whole TLD with targeted registrations

Hugo Salgado-Hernández hsalgado en nic.cl
Mar Jul 11 12:18:08 BRT 2017


On 09:38 11/07, Fernando Gont wrote:
> On 07/10/2017 11:46 PM, Hugo Salgado-Hernández wrote:
> > Por lo que pude ver, sospecho que el problema fue que IO utiliza
> > esos NS como "glue records" dentro de la zona IO, pero olvidó
> > bloquear el dominio para los registrars, dejando que se delegara
> > normalmente. El problema es que al delegarse se podía "sobreescribir"
> > la IP, ya que el hijo tiene la autoridad sobre el padre.
> 
> Lo mire rapido y por encima. Lo que parece es que tenian dentro de los
> NS un dominio que habia expirado, y por ende alguien podia registrarlo.
> 
> Esto creo que es un error tan grosero que...
> 

Ese fue el caso de NA. Es grosero, pero hay tantas dependencias
(se pueden ver en el gráfico del artículo) que a veces es difícil
tener control de todo.

> 
> 
> > Lástima que no hubiéramos visto más detalles en ese momento, pero
> > ahora el whois dice que el dominio está bloqueado, y no está
> > delegado. Si el investigador dice que vió tráfico, entonces
> > claramente sucedió!
> > 
> > Efectivamente DNSSEC nos protegió a todos los que validamos. Si
> > el investigador hubiera empezado a responder con dominios falsos,
> > y esos dominios estaban firmados, habría fallado la cadena desde
> > la llave raíz.
> 
> Sin tomar posicion en si sobre el despliegue de DNSsec, mi pregunta es:
> 
> Para casi todo uso del dominio que te importe hacerlo de manera segura,
> en cualquier caso, usarias SSL, que al fin y al cabo "protege" la
> información "extremo a extremo". En cuyo caso, que compraste "extra" con
> DNSsec?

Proteger antes que el transporte, en la etapa de resolución del nombre.

> 
> Un ataque como el descripto -- dejando de lado el error grosero en
> cuestion -- es una ariante mas de MITM (man in the middle), que podría
> ocurrir en variedad de formas -- al fin y al cabo, tu propio ISP podría
> hacerlo sin problemas. Dado que por ejemplos estos no se mitigan con
> DNSsec, la pregunta es, a la practica, cuanta diferencia real/efectiva
> hubiera hecho el despliegue de DNSsec.

Con validación DNSSEC los clientes ni siquiera iniciarían una
conexión TCP, porque el nombre les daría SERVFAIL.

DNSSEC es complementario a TLS, usan capas distintas. TLS tiene
sus problemas con las Autoridades Certificadoras, que como se ha
demostrado muchas veces, no tienen las mejores prácticas para
emitir certificados, e incluso pueden hackearse y firmar sin que
se den cuenta. Lo han hecho hackers, ISPs y gobiernos. Si te
comprometen algún certificado en la cadena de alguno de los cientos
de autoridades raíz de un browser, entonces TLS no te protege
de MitM. Y ahí DNSSEC te podría salvar.

Saludos,

Hugo

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 801 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20170711/6d244a5d/attachment.sig>


Más información sobre la lista de distribución LACNOG