[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Fernando Gont fgont en si6networks.com
Mie Ene 27 13:19:15 BRST 2016 

Hola, Luis,

On 01/27/2016 11:59 AM, Espinoza Sanchez, Luis Diego wrote:
> Fernando, el DNS en si, es de las tecnologías mas baratas de
> mantener, el costo de DNSSEC es marginal comparado con el costo de
> implementar tecnologías similares en otras aplicaciones.
> 
> En realidad, desde un punto de vista de costo/beneficio, que parece
> que es la forma en que quieres plantearlo, si se ve como una medida
> para contrarrestar ataques de algún tipo ya que en algún momento se
> hablaba del envenenamiento de cache, y eso asusto a mas de uno a
> correr a implementar DNSSEC, pero luego que paso la tormenta, queda
> el tema de analizar en frío la tecnología y lo que aporta.
> 
> Ahora lo veo como un mecanismo de mitigación de riesgos. Diría que un
> bajo nivel de posibilidad de ocurrencia, pero que en caso de ocurrir
> el impacto es alto para algunos, esto dependiendo de la organización
> obviamente.  Un deface del sitio web transaccional de un banco tiene
> un impacto diferente al del sitio web de la facultad de matemáticas
> de una universidad. Para un banco, pagar por un mecanismo que ayude a
> mitigar el riesgo de suplantación del sitio web, podría justificarse
> perfectamente.

Podes describir un escenario de ataque en el cual DNSSEC serviria paa
mitigar ese riesgo, y para el cual no exista otra variedad de ataque
igual o mas simple, para lograr lo mismo o algo similar?



> Ojo que dice “ayudar a mitigar”, no estoy diciendo que
> mitiga al 100%., igual perfectamente se puede presentar como un caso
> de inversion y rentable desde el punto de vista de protección de la
> credibilidad del banco.

Realmente? La gente sabe, y hasta por ahi de TLS por el candadito que
les aparece en el navegador. No existe tal cosa para DNSSEC. Simple: si
me preguntaras "tu banco soporta dnssec?", te diria "ni idea... tendria
que probar" (impliicando esto 'dig' o similares... lo cual es chino
basico para todo usuario comun).

Abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad