[lacnog] Utilización de DoH como canal encubierto para controlar Malware

Nicolas Antoniello nantoniello en gmail.com
Vie Sep 4 18:16:41 GMT+3 2020


Hola Roque y tod en s,

Repasando mi correo, quiero destacar que no menciono -discusión- ni estoy
diciendo que DoX sea bueno o malo per se.

Si bien, como vos mencionas, Mozilla decidió para los usuarios de USA
habilitar DoH (pudiendo ser deshabilitado y/o configurado por los usuarios)
utilizando los servidores DNS de un par de organizaciones (que
mantienen servidores recursivos públicos de DNS con DoX habilitado) con los
que firmaron un acuerdo, hay otros actores digamos, que proponen otros
comportamientos como utilizar DoX con el mismo proveedor que tenga el
dispositivo configurado en su sistema operativo (el suministrado por el ISP
típicamente) cuando se detecte esa capacidad (como el caso de Android), etc.

A lo que si hago referencia es a aspectos a tomar en cuenta a la hora de
decidir en cada ambiente si voy o no a utilizar DoX.
Por ejemplo, puede que un un ambiente residencial la posibilidad de
utilizar DoX con el mismo servidor provisto por el ISP (sea el suyo propio
o uno público como utilizan muchos proveedores) sea una buena opción que me
agrega privacidad en el intercambio entre mi cliente y el servidor
recursivo (y adicionalmente puede servir para saltarse mecanismos de
filtrado utilizando DNS, impuestos por algún ISP unilateralmente, si fuera
el caso).
En un ambiente empresarial, por ejemplo, se me ocurre que ya no es tan
atractivo el uso de DoX si poseo algún tipo de sistema de defensa contra
ataques que se valgan del tráfico de DNS. Tal vez en ese caso, si tengo un
equipo de personas de Operaciones que administre servidores recursivos, lo
mejor sea correr mi propio servidor recursivo limitándolo solo para el uso
de los dispositivos de mi red, y poner allí en ese mismo recursivo (de ser
posible) algún sistema de mitigación de ataques que utilicen el DNS.

Para los que estén interesados, hay un documento de ICANN elaborado por
Paul Hoffman que hace un análisis objetivo de este tema: OCTO-003: Local
and Internet Policy Implications of Encrypted DNS
<https://community.icann.org/download/attachments/144377102/octo-003-30apr20-en.pdf?version=1&modificationDate=1597447763000&api=v2>
.

Abrazo,
Nico




El vie., 4 de sep. de 2020 a la(s) 05:47, Roque Gagliano (rgaglian en gmail.com)
escribió:

> Nico,
>
> No hubo ni hay "discusión", Mozilla cambió el default y punto.
>
> Roque.
>
> On Thu, Sep 3, 2020 at 5:33 PM Nicolas Antoniello <nantoniello en gmail.com>
> wrote:
>
>> Estimados,
>>
>> Para que lo tengan en cuenta. En este caso, los sistemas de detección de
>> amenazas que puedan estar operando en las organizaciones no serían capaces
>> de detectar este tipo de ataques. La forma de detectarlo sería (en
>> principio) únicamente desde el cliente con algún mecanismo de detección de
>> Malware o similar.
>>
>> Este trata de la utilización de respuestas DNS conteniendo código para
>> comandar y controlar un malware previamente instalado en el cliente.
>>
>> Lo interesante es que al valerse de DoX se vuelve mucho más difícil su
>> detección y por lo tanto es aprovechable por los atacantes como mecanismo
>> para intentar evitar sistemas de detección que puedan utilizar las
>> organizaciones.
>>
>> En el artículo se menciona el hecho de que este tipo de ataques no es
>> nuevo; así como el hecho de que esto no es un problema propio de DoX; sino
>> que los atacantes se valen de la privacidad que provee DoX para encubrir su
>> tráfico.
>>
>>
>> https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/
>>
>> Personalmente creo que agrega una consideración interesante en la
>> conversación sobre privacidad vs. seguridad a la hora de cada uno decidir
>> en qué ámbitos aplicaremos cada mecanismo; así como qué medidas adicionales
>> de seguridad (y privacidad) podemos tomar a nivel operativo para buscar
>> protegernos mejor de este tipo de amenazas.
>>
>> Saludos,
>> Nico
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
>
> --
>
>
> At least I did something
> Don Draper - Mad Men
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200904/12c7e02c/attachment-0001.html>


Más información sobre la lista de distribución LACNOG