[lacnog] Taking over a whole TLD with targeted registrations

Carlos M. Martinez carlosm3011 en gmail.com
Mar Jul 11 14:01:31 BRT 2017


+1

On 11 Jul 2017, at 13:55, Roque Gagliano wrote:

> Fernando,
>
> Lo que dices significa que toda la seguridad se transfiere a los root 
> TLS
> configurados en los browsers....la verdad que confío bien poco en 
> ellos y
> creo que nadie sabe a está altura quienes son. Si la resolución de 
> dominio
> no es confiable, sería un caos incluso con TLS.
>
> Roque
>
> On Jul 11, 2017 4:47 AM, "Fernando Gont" <fgont en si6networks.com> 
> wrote:
>
>> On 07/10/2017 11:46 PM, Hugo Salgado-Hernández wrote:
>>> Por lo que pude ver, sospecho que el problema fue que IO utiliza
>>> esos NS como "glue records" dentro de la zona IO, pero olvidó
>>> bloquear el dominio para los registrars, dejando que se delegara
>>> normalmente. El problema es que al delegarse se podía 
>>> "sobreescribir"
>>> la IP, ya que el hijo tiene la autoridad sobre el padre.
>>
>> Lo mire rapido y por encima. Lo que parece es que tenian dentro de 
>> los
>> NS un dominio que habia expirado, y por ende alguien podia 
>> registrarlo.
>>
>> Esto creo que es un error tan grosero que...
>>
>>
>>
>>> Lástima que no hubiéramos visto más detalles en ese momento, pero
>>> ahora el whois dice que el dominio está bloqueado, y no está
>>> delegado. Si el investigador dice que vió tráfico, entonces
>>> claramente sucedió!
>>>
>>> Efectivamente DNSSEC nos protegió a todos los que validamos. Si
>>> el investigador hubiera empezado a responder con dominios falsos,
>>> y esos dominios estaban firmados, habría fallado la cadena desde
>>> la llave raíz.
>>
>> Sin tomar posicion en si sobre el despliegue de DNSsec, mi pregunta 
>> es:
>>
>> Para casi todo uso del dominio que te importe hacerlo de manera 
>> segura,
>> en cualquier caso, usarias SSL, que al fin y al cabo "protege" la
>> información "extremo a extremo". En cuyo caso, que compraste "extra" 
>> con
>> DNSsec?
>>
>> Un ataque como el descripto -- dejando de lado el error grosero en
>> cuestion -- es una ariante mas de MITM (man in the middle), que 
>> podría
>> ocurrir en variedad de formas -- al fin y al cabo, tu propio ISP 
>> podría
>> hacerlo sin problemas. Dado que por ejemplos estos no se mitigan con
>> DNSsec, la pregunta es, a la practica, cuanta diferencia 
>> real/efectiva
>> hubiera hecho el despliegue de DNSsec.
>>
>> Slds, y gracias!
>> --
>> Fernando Gont
>> SI6 Networks
>> e-mail: fgont en si6networks.com
>> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>>
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>


> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20170711/795a6763/attachment.html>


Más información sobre la lista de distribución LACNOG