
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">

<style>

div.plaintext { white-space: normal; }

body { font-family: sans-serif; }

div.plaintext h1 { font-size: 1.4em; }

div.plaintext h2 { font-size: 1.2em; }

div.plaintext h3 { font-size: 1.1em; }

blockquote.embedded,div.plaintext blockquote { margin: 0 0 5px; padding-left: 5px; border-left: 2px solid #777777; color: #777777; }

blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote { border-left-color: #999999; color: #999999; }

blockquote.embedded blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote blockquote { border-left-color: #BBBBBB; color: #BBBBBB; }

div.plaintext a { color: #3983C4 }

blockquote.embedded,div.plaintext blockquote a { color: #777777; }

blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote a { color: #999999; }

blockquote.embedded blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote blockquote a { color: #BBBBBB; }

div.plaintext math[display="inline"] > mrow { padding:5px; }

div.plaintext div.footnotes li p { margin: 0.2em 0; }

</style>

</head>

<body>

<div class="plaintext"><p dir="auto">+1</p>

<p dir="auto">On 11 Jul 2017, at 13:55, Roque Gagliano wrote:</p>

</div>

<blockquote class="embedded"><div dir="auto">Fernando,<div dir="auto"><br></div><div dir="auto">Lo que dices significa que toda la seguridad se transfiere a los root TLS configurados en los browsers....la verdad que confío bien poco en ellos y creo que nadie sabe a está altura quienes son. Si la resolución de dominio no es confiable, sería un caos incluso con TLS.</div><div dir="auto"><br></div><div dir="auto">Roque</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Jul 11, 2017 4:47 AM, "Fernando Gont" <<a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 07/10/2017 11:46 PM, Hugo Salgado-Hernández wrote:<br>

> Por lo que pude ver, sospecho que el problema fue que IO utiliza<br>

> esos NS como "glue records" dentro de la zona IO, pero olvidó<br>

> bloquear el dominio para los registrars, dejando que se delegara<br>

> normalmente. El problema es que al delegarse se podía "sobreescribir"<br>

> la IP, ya que el hijo tiene la autoridad sobre el padre.<br>

<br>

Lo mire rapido y por encima. Lo que parece es que tenian dentro de los<br>

NS un dominio que habia expirado, y por ende alguien podia registrarlo.<br>

<br>

Esto creo que es un error tan grosero que...<br>

<br>

<br>

<br>

> Lástima que no hubiéramos visto más detalles en ese momento, pero<br>

> ahora el whois dice que el dominio está bloqueado, y no está<br>

> delegado. Si el investigador dice que vió tráfico, entonces<br>

> claramente sucedió!<br>

><br>

> Efectivamente DNSSEC nos protegió a todos los que validamos. Si<br>

> el investigador hubiera empezado a responder con dominios falsos,<br>

> y esos dominios estaban firmados, habría fallado la cadena desde<br>

> la llave raíz.<br>

<br>

Sin tomar posicion en si sobre el despliegue de DNSsec, mi pregunta es:<br>

<br>

Para casi todo uso del dominio que te importe hacerlo de manera segura,<br>

en cualquier caso, usarias SSL, que al fin y al cabo "protege" la<br>

información "extremo a extremo". En cuyo caso, que compraste "extra" con<br>

DNSsec?<br>

<br>

Un ataque como el descripto -- dejando de lado el error grosero en<br>

cuestion -- es una ariante mas de MITM (man in the middle), que podría<br>

ocurrir en variedad de formas -- al fin y al cabo, tu propio ISP podría<br>

hacerlo sin problemas. Dado que por ejemplos estos no se mitigan con<br>

DNSsec, la pregunta es, a la practica, cuanta diferencia real/efectiva<br>

hubiera hecho el despliegue de DNSsec.<br>

<br>

Slds, y gracias!<br>

--<br>

Fernando Gont<br>

SI6 Networks<br>

e-mail: <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a><br>

PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>

<br>

<br>

<br>

<br>

______________________________<wbr>_________________<br>

LACNOG mailing list<br>

<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>

Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><br>

</blockquote></div></div></blockquote>

<div class="plaintext"><blockquote>

</blockquote><blockquote><p dir="auto">_______________________________________________<br>

LACNOG mailing list<br>

LACNOG@lacnic.net<br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>

Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></p>

</blockquote></div>


</body>

</html>