[lacnog] Taking over a whole TLD with targeted registrations

Roque Gagliano rgaglian en gmail.com
Mar Jul 11 13:55:47 BRT 2017


Fernando,

Lo que dices significa que toda la seguridad se transfiere a los root TLS
configurados en los browsers....la verdad que confío bien poco en ellos y
creo que nadie sabe a está altura quienes son. Si la resolución de dominio
no es confiable, sería un caos incluso con TLS.

Roque

On Jul 11, 2017 4:47 AM, "Fernando Gont" <fgont en si6networks.com> wrote:

> On 07/10/2017 11:46 PM, Hugo Salgado-Hernández wrote:
> > Por lo que pude ver, sospecho que el problema fue que IO utiliza
> > esos NS como "glue records" dentro de la zona IO, pero olvidó
> > bloquear el dominio para los registrars, dejando que se delegara
> > normalmente. El problema es que al delegarse se podía "sobreescribir"
> > la IP, ya que el hijo tiene la autoridad sobre el padre.
>
> Lo mire rapido y por encima. Lo que parece es que tenian dentro de los
> NS un dominio que habia expirado, y por ende alguien podia registrarlo.
>
> Esto creo que es un error tan grosero que...
>
>
>
> > Lástima que no hubiéramos visto más detalles en ese momento, pero
> > ahora el whois dice que el dominio está bloqueado, y no está
> > delegado. Si el investigador dice que vió tráfico, entonces
> > claramente sucedió!
> >
> > Efectivamente DNSSEC nos protegió a todos los que validamos. Si
> > el investigador hubiera empezado a responder con dominios falsos,
> > y esos dominios estaban firmados, habría fallado la cadena desde
> > la llave raíz.
>
> Sin tomar posicion en si sobre el despliegue de DNSsec, mi pregunta es:
>
> Para casi todo uso del dominio que te importe hacerlo de manera segura,
> en cualquier caso, usarias SSL, que al fin y al cabo "protege" la
> información "extremo a extremo". En cuyo caso, que compraste "extra" con
> DNSsec?
>
> Un ataque como el descripto -- dejando de lado el error grosero en
> cuestion -- es una ariante mas de MITM (man in the middle), que podría
> ocurrir en variedad de formas -- al fin y al cabo, tu propio ISP podría
> hacerlo sin problemas. Dado que por ejemplos estos no se mitigan con
> DNSsec, la pregunta es, a la practica, cuanta diferencia real/efectiva
> hubiera hecho el despliegue de DNSsec.
>
> Slds, y gracias!
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20170711/e0ec8f9c/attachment.html>


Más información sobre la lista de distribución LACNOG