<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
h3
{mso-style-priority:9;
mso-style-link:"Título 3 Car";
mso-margin-top-alt:auto;
margin-right:0in;
mso-margin-bottom-alt:auto;
margin-left:0in;
font-size:13.5pt;
font-family:"Calibri",sans-serif;
font-weight:bold;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
pre
{mso-style-priority:99;
mso-style-link:"HTML con formato previo Car";
margin:0in;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";}
span.Ttulo3Car
{mso-style-name:"Título 3 Car";
mso-style-priority:9;
mso-style-link:"Título 3";
font-family:"Calibri Light",sans-serif;
color:#1F3763;}
span.HTMLconformatoprevioCar
{mso-style-name:"HTML con formato previo Car";
mso-style-priority:99;
mso-style-link:"HTML con formato previo";
font-family:"Consolas",serif;}
span.EstiloCorreo22
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:70.85pt 85.05pt 70.85pt 85.05pt;}
div.WordSection1
{page:WordSection1;}
--></style></head><body lang=ES-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Nico, Ale, tod@s, como estan?<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Nico, Gracias por traer este tema a colación.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Definitivamente es un problema frecuente, y que está relacionado con la manera humana de pensar. En la operación diaria, nos preocupamos por lo que debe estarse anunciando y se anuncia mal o no se anuncia (que es por lo que nos vuelan la cabeza en ese momento); y una vez que logramos el OK a este proceso, asumimos que el DNS esta funcionando correctamente; pero raramente nos preocupamos por lo que se anuncia que ya no debería anunciarse. Peor aun cuando hay vistas de DNS.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>En general, las zonas de DNS no cambian demasiado ni frecuentemene en una buena parte de las organizaciones, y eso también hace que sea un servicio medio que descuidado en muchos casos. Nos preocupa mas resolver los sitios a los que navegamos (facebook, google, etc) que en la forma en que funciona nuestra zonas de DNS autorizativos. En mi experiencia, el DNS es uno de los servicios que menos se miran, cuando hay transición de equipos de administración, y de ahí muchos de los problemas que se arrastran a futuro en muchas de estas organizaciones.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Saludos,<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Jorge<o:p></o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:12.0pt;color:black'>De: </span></b><span style='font-size:12.0pt;color:black'>LACNOG <lacnog-bounces@lacnic.net> en nombre de Alejandro Acosta <alejandroacostaalamo@gmail.com><br><b>Responder a: </b>Latin America and Caribbean Region Network Operators Group <lacnog@lacnic.net><br><b>Fecha: </b>martes, 7 de julio de 2020, 8:35 p. m.<br><b>Para: </b><lacnog@lacnic.net><br><b>Asunto: </b>Re: [lacnog] Interesante paper de CAIDA sobre posible vector de ataque de DNS<o:p></o:p></span></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><p>Hola Nico, <o:p></o:p></p><p> Eso es algo que pasa muy frecuente, buen punto el que traes a colación.<o:p></o:p></p><p> Un ejemplo, este año pasó esto: <a href="https://www.zdnet.com/article/microsoft-has-a-subdomain-hijacking-problem/">https://www.zdnet.com/article/microsoft-has-a-subdomain-hijacking-problem/</a><o:p></o:p></p><p><o:p> </o:p></p><p>Saludos,<o:p></o:p></p><p><o:p> </o:p></p><div><p class=MsoNormal>On 7/7/20 8:11 PM, Nicolas Antoniello wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal>Les adjunto un link a un interesante paper de CAIDA sobre la importancia de mantener los archivos de Zona de DNS actualizados y "limpios". <o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><a href="https://www.caida.org/publications/papers/2020/forgotten_side_dns/">https://www.caida.org/publications/papers/2020/forgotten_side_dns/</a><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><h3 style='mso-margin-top-alt:12.0pt;margin-right:0in;margin-bottom:6.0pt;margin-left:0in'><span style='color:#0758A7'>The Forgotten Side of DNS: Orphan and Abandoned Records<o:p></o:p></span></h3></div><div><p class=MsoNormal><span style='font-size:10.0pt;color:black'>DNS zone administration is a complex task involving manual work and several entities and can therefore result in misconfigurations. Orphan records are one of these misconfigurations, in which a glue record for a delegation that does not exist anymore is forgotten in the zone file. Orphan records are a security hazard to third-party domains that have these records in their delegation, as an attacker may easily hijack such domains by registering the domain associated with the orphan. The goal of this paper is to quantify this misconfiguration, extending previous work by Kalafut et al., by identifying a new type of glue record misconfiguration – which we refer to as abandoned records – and by performing a broader characterization. Our results highlight how the situation has changed, not always for the better, compared to a decade-old study.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;color:black'>Fraterno saludo,</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;color:black'>Nico</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal><br><br><o:p></o:p></p><pre>_______________________________________________<o:p></o:p></pre><pre>LACNOG mailing list<o:p></o:p></pre><pre><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><o:p></o:p></pre><pre><a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><o:p></o:p></pre><pre>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></pre></blockquote><p class=MsoNormal>_______________________________________________ LACNOG mailing list LACNOG@lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog <o:p></o:p></p></div></body></html>