<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">
</head>
<body>
<div><div class="markdown">
<p dir="auto">Hola a todos,</p>

<p dir="auto">Si yo entiendo bien este escenario, en realidad lo que hizo Mozilla de cambiar el default de hacia dónde van las consultas DNS (con lo que discrepó totalmente) es solamente una capa mas en una ataque ya de por si complejo.</p>

<p dir="auto">El registro dns que se ve en el articulo sigue pudiendo ser consultado incluso por “ye olde" plain text DNS</p>

<pre><code>$ dig txt dmarc.jqueryupdatejs.com

; <<>> DiG 9.10.6 <<>> txt dmarc.jqueryupdatejs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19013
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dmarc.jqueryupdatejs.com.    IN    TXT

;; ANSWER SECTION:
dmarc.jqueryupdatejs.com. 38400    IN    TXT    "v=DKIM1; k=rsa; p=/NkBspI4LG64/nlEJ5sKjBiKA2L0Oi0B/TVRRNE5ESXpPRFk0T0E9PQ/mvYI54xdsqEmW/TVRRNE5ESXpPRFk0Tnc9PQ/TWpNNE9ETTN/TWpNNE9ETTNNVGszTkE9PQ/mvYI54xdsqEmW/TWpNNE9ETTNNakUwTXc9PQ/+ENwGoMUg9feAaD9qyw7KUEysv23BHGBHxInOA2FOhTOZrNWg7DQIDAQAB"

;; Query time: 684 msec
;; SERVER: 200.7.84.14#53(200.7.84.14)
;; WHEN: Fri Sep 04 10:07:36 -03 2020
;; MSG SIZE  rcvd: 307

</code></pre>

<p dir="auto">Aca hay casi tantas capas como en una cebolla:</p>

<ul>
<li><p dir="auto">el uso de un nombre de dominio que se ve inocente, como “jqueryupdatejs.com” , cualquiera diría que es el update de jQuery</p></li>
<li><p dir="auto">el uso de DNS como covert channel. Incluso si se usa DNS plano, a menos que alguien esté minando datos de consultas DNS esto puede demorar meses y meses en ser detectado</p></li>
<li><p dir="auto">el payload del DMARC record ya es, o al menos puede pasar como, algo cifrado normal</p></li>
</ul>

<p dir="auto">El DNS over HTTPS aca es una mas de esas capas, pero no es ni cerca el unico ni el mas importante de los elementos aca.</p>

<p dir="auto">Entiendo que lo que hizo Mozilla no esta bueno, esa es otra discusión que me encantaría tuviéramos.</p>

<p dir="auto">Abrazo y buen finde para todos.</p>

<p dir="auto">/Carlos</p>

<p dir="auto">On 4 Sep 2020, at 5:46, Roque Gagliano wrote:</p>

</div>
<div class="plaintext"></div>
<blockquote class="embedded"><div dir="ltr"><div>Nico,</div><div><br></div><div>No hubo ni hay "discusión", Mozilla cambió el default y punto.<br></div><div><br></div><div>Roque.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Sep 3, 2020 at 5:33 PM Nicolas Antoniello <<a href="mailto:nantoniello@gmail.com">nantoniello@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Estimados,<div><br></div><div>Para que lo tengan en cuenta. En este caso, los sistemas de detección de amenazas que puedan estar operando en las organizaciones no serían capaces de detectar este tipo de ataques. La forma de detectarlo sería (en principio) únicamente desde el cliente con algún mecanismo de detección de Malware o similar.</div><div><br></div><div>Este trata de la utilización de respuestas DNS conteniendo código para comandar y controlar un malware previamente instalado en el cliente.</div><div><br></div><div>Lo interesante es que al valerse de DoX se vuelve mucho más difícil su detección y por lo tanto es aprovechable por los atacantes como mecanismo para intentar evitar sistemas de detección que puedan utilizar las organizaciones.</div><div><br></div><div>En el artículo se menciona el hecho de que este tipo de ataques no es nuevo; así como el hecho de que esto no es un problema propio de DoX; sino que los atacantes se valen de la privacidad que provee DoX para encubrir su tráfico.</div><div><br></div><div><a href="https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/" target="_blank">https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/<br></a></div><div><br></div><div>Personalmente creo que agrega una consideración interesante en la conversación sobre privacidad vs. seguridad a la hora de cada uno decidir en qué ámbitos aplicaremos cada mecanismo; así como qué medidas adicionales de seguridad (y privacidad) podemos tomar a nivel operativo para buscar protegernos mejor de este tipo de amenazas.</div><div><br></div><div>Saludos,</div><div>Nico</div><div><br></div><div><br></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><br><br>At least I did something<br>Don Draper - Mad Men</div></blockquote>
<div class="markdown">
<blockquote>
</blockquote><blockquote><p dir="auto">_______________________________________________<br>
LACNOG mailing list<br>
LACNOG@lacnic.net<br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></p>
</blockquote></div>
<div class="markdown">
</div>
</div>
</body>
</html>