<div dir="auto">Fernando,<div dir="auto"><br></div><div dir="auto">Lo que dices significa que toda la seguridad se transfiere a los root TLS configurados en los browsers....la verdad que confío bien poco en ellos y creo que nadie sabe a está altura quienes son. Si la resolución de dominio no es confiable, sería un caos incluso con TLS.</div><div dir="auto"><br></div><div dir="auto">Roque</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Jul 11, 2017 4:47 AM, "Fernando Gont" <<a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 07/10/2017 11:46 PM, Hugo Salgado-Hernández wrote:<br>
> Por lo que pude ver, sospecho que el problema fue que IO utiliza<br>
> esos NS como "glue records" dentro de la zona IO, pero olvidó<br>
> bloquear el dominio para los registrars, dejando que se delegara<br>
> normalmente. El problema es que al delegarse se podía "sobreescribir"<br>
> la IP, ya que el hijo tiene la autoridad sobre el padre.<br>
<br>
Lo mire rapido y por encima. Lo que parece es que tenian dentro de los<br>
NS un dominio que habia expirado, y por ende alguien podia registrarlo.<br>
<br>
Esto creo que es un error tan grosero que...<br>
<br>
<br>
<br>
> Lástima que no hubiéramos visto más detalles en ese momento, pero<br>
> ahora el whois dice que el dominio está bloqueado, y no está<br>
> delegado. Si el investigador dice que vió tráfico, entonces<br>
> claramente sucedió!<br>
><br>
> Efectivamente DNSSEC nos protegió a todos los que validamos. Si<br>
> el investigador hubiera empezado a responder con dominios falsos,<br>
> y esos dominios estaban firmados, habría fallado la cadena desde<br>
> la llave raíz.<br>
<br>
Sin tomar posicion en si sobre el despliegue de DNSsec, mi pregunta es:<br>
<br>
Para casi todo uso del dominio que te importe hacerlo de manera segura,<br>
en cualquier caso, usarias SSL, que al fin y al cabo "protege" la<br>
información "extremo a extremo". En cuyo caso, que compraste "extra" con<br>
DNSsec?<br>
<br>
Un ataque como el descripto -- dejando de lado el error grosero en<br>
cuestion -- es una ariante mas de MITM (man in the middle), que podría<br>
ocurrir en variedad de formas -- al fin y al cabo, tu propio ISP podría<br>
hacerlo sin problemas. Dado que por ejemplos estos no se mitigan con<br>
DNSsec, la pregunta es, a la practica, cuanta diferencia real/efectiva<br>
hubiera hecho el despliegue de DNSsec.<br>
<br>
Slds, y gracias!<br>
--<br>
Fernando Gont<br>
SI6 Networks<br>
e-mail: <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a><br>
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>
<br>
<br>
<br>
<br>
______________________________<wbr>_________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><br>
</blockquote></div></div>