Subnets.ru blog

В июне в Швеции был принят закон, разрешающий агентству FRA анализировать транзитный трафик других стран и обязующий операторов связи к установке специального оборудования.

Основным объектом наблюдения аналитики называют Россию, так как через кабельные сети Швеции проходит около 80% всего российского внешнего трафика. Ведущий европейский оператор связи TeliaSonera, обслуживающий большинство внешний каналов России, пытается найти другие пути передачи транзитного трафика в обход территории Швеции. Компания Google намерена перевести из Швеции размещенный там дата-центр.

Оригинал.

Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера.

Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции «Black Hat», которая состоится 7 августа.

Организация ISC уже выпустила обновление BIND 9.5.0-P1, BIND 9.4.2-P1 и BIND 9.3.5-P1, а также опубликовала специальный пресс-релиз, в котором подчеркнута серьезность проблемы и необходимость скорейшего обновления. К сожалению исправление существенно понижает производительность сервера, что особенно начинает проявляться при нагрузке в 10 тыс. запросов в секунду и выше. В бета версиях 9.5.1b1/9.4.3b2 начато тестирование оптимизированного варианта исправления, который должен частично решить возникшие проблемы с производительностью. Тем не менее, полную защиту от данного вида атак может обеспечить только использование DNSSEC.

Проверить DNS сервер на уязвимость можно на данной странице. Доступность исправлений для различных платформ можно узнать здесь. Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS (резолвер выделен в отдельный продукт PowerDNS Recursor, об уязвимости которого ничего не сообщается).

Оригинал

Статья с http://www.securitylab.ru:

Краткое предисловие

DNS является одним из самых критичных компонентов сети Интернет, поэтому уязвимости в серверах имен всегда вызывали повышенный интерес у злоумышленников. 8-9 июля многие производители выпустили исправления, устраняющие фунаментальную ошибку, которая позволяет злоумышленнику произвести спуфинг атаку. Дэн Камински в своем блоге http://www.doxpara.com/?p=1165 опубликовал более подробное описание уязвимости и сделал доступным эксплоит.

В чем заключается уязвимость?

Уязвимость существует из-за того, что DNS сервер использует предсказуемый номер порта для отправки DNS запросов. Злоумышленник может угадать номер порта, который используется для отправки данных, и с помощью специально сформированного ложного DNS-ответа подменить данные в кеше DNS сервера.

Для подтверждения наличия уязвимости можно воспользоваться эксплоитами и утилитой:

BIND 9.4.1-9.4.2 Remote DNS Cache Poisoning Flaw Exploit (meta)
BIND 9.x Remote DNS Cache Poisoning Flaw Exploit (py)
Утилита http://www.onzra.com/CacheAudit-Latest.tgz

Насколько опасна уязвимость?

Спуфинг атака – атака, направленная в первую очередь на клиента, а не на сервер. Уязвимость, которую мы сейчас обсуждаем, неспособна дать повышенные привилегии на уязвимой системе или выполнить произвольный код, но в сочетании с другими незначительными ошибками программного обеспечения или социальной инженерией, может стать очень опасным инструментом в руках злоумышленника.

В тестах, которые проводил Камински, ему удалось отравить кеш сервера имен приблизительно за 5-10 секунд. Эта уязвимость позволяет атакующему перезаписать данные, которые уже находятся в кеше сервера. Сервера имен, которые являются только авторитетными, не подвержены этой уязвимости. Установка высокого значения TTL для ваших хостов на авторитетном сервере не помешает злоумышленнику отравить кеш уязвимых резолверов, так как атака обходит защиту TTL.

Уязвимость затрагивает также и клиентские библиотеки (рабочие станции и сервера, которые обращаются к вышестоящим серверам имен) и может быть проведена против одиночного хоста. Также, некоторые МСЭ с функционалом трансляции адресов, рассчитанные на домашний сектор, используют предсказуемые номера для порта источника запросов, что позволяет злоумышленнику удачно произвести атаку, даже если было установлено исправление на сервер имен или клиент.

Итак, подытожим:

1. Отравление кеша DNS сервера можно произвести довольно быстро (5-10 секунд)
2. Злоумышленник может изменить данные, которые уже находятся в кеше сервера
3. Уязвимость может использоваться как против сервера имен, так и против рабочей станции.
4. Сервера и рабочие станции, которые находятся за бюджетными МСЭ с включенным NAT, подвержены уязвимости не зависимо от установленных исправлений.
5. Эксплоит находится в публичном доступе.
6. Целью атаки может стать любой промежуточный DNS сервер на пути к авторитетному серверу или DNS клиент. Это означает, что если вышестоящий DNS сервер уязвим, то не зависимо от наличия исправлений на ваших серверах, вы можете стать жертвой атаки.

Векторы атаки

Как я уже писал выше, спуфинг атака – атака, направлена на клиента, а не на сервер. Злоумышленник может:

• произвести фишинг атаку и получить доступ к важным данным
• произвести атаку типа «Человек посередине» и получить доступ к потенциально важным данным (паролям, номерам кредитных карт и другим данным, которые вы передаете).
• используя уязвимость в ПО, получить доступ к важным данным и даже скомпрометировать целевую систему (например, из-за недостаточной проверки подлинности сервера при установке обновлений приложения, при перенаправлении пользователя на специально сформированный сайт и т.д.).

Исправления

Для устранения уязвимости необходимо установить исправления не только на хосты, которые находятся под вашим контролем, но и на все сервера имен, которые участвуют в обмене данными, иначе всегда будет существовать возможность спуфинг атаки.
Исправления доступны для Windows, Linux, UNIX и других систем. Для получения исправления обратитесь к соответствующему производителю. Список производителей доступен по адресу: http://www.kb.cert.org/vuls/id/800113

Выводы

Уязвимость достаточно опасна и может эксплуатироваться как против сервера, так и против клиента. Исправления хотя и существуют, но установлены далеко не везде. Армагеддон, конечно же не наступает, но у злоумышленников появилась дополнительное преимущество, которым они не постесняются воспользоваться в последующих атаках на ваши сети.

Ссылки:

• Теория и настройка DNS сервера (bind) на FreeBSD
• Записи типа “Pointer”. Домен IN-ADDR.ARPA. Делегирование “обратных” зон. Инверсные запросы.

Google подключился к сети MSK-IX на MMTC-9 !

Приводим текст письма:

Dear MSK-IX members,

I am pleased to inform you that Google (AS15169) completed its installation in Moscow and is now peering at MSK-IX. Please read on for important details about our peering.

Google operates a restricted peering policy, for public peers we are looking for significant traffic volume, for private we expect volume and in addition peers should meet us in more than one location.

To improve our connectivity to you we are however peering with the MSK-IX route servers (AS8631). This is our preferred method of exchanging traffic unless you have more than approx 50Mb coming in from us. Please check that you are preferring our prefixes and that you are correctly classifying AS15169 as as local routes.

We are currently aware of issues in path selection for our outbound traffic, since AS8631 is included in the as-path this can result in equal or shorter length as-paths being announced to us by peers
elsewhere. We are told by MSK-IX that they are in the process of upgrading the route servers and when this is complete it will then be transparent which is very good news. However if you are peering with the route servers at MSK-IX but not seeing our traffic on your MSK-IX port you may want to consider this issue and we know that some peers have successfully used as-path prepending to manipulate which way traffic enters their network.

As mentioned above, if you wish to peer we would prefer to do so via the route server unless you have significant inbound traffic from us, in which case please feel free to drop me an email giving a little bit of detail about yourself and your estimated traffic volume and we can consider the request.

Finally, I wish you all well and hope to meet you at one of the upcoming MSK-IX hosted meetings!

С Уважением, Стив.

Steve

Новости, источник soft.mail.ru:

Wi-Fi запрещен в России под угрозой конфискации

Чиновники Россвязьохранкультуры заявили, что для использования технологии Wi-Fi, которая сейчас внедрена практически во все продаваемые ноутбуки, коммуникаторы, карманные компьютеры и даже многие мобильные телефоны, нужно специальное разрешение на использование радиочастот и регистрация в надзорной службе.

За нарушение таких требований компьютер или стационарный модем может быть конфискован.

В ответе на запрос заместитель начальника Управления контроля и надзора в сфере связи Владимир Краснов заявил, что владельцу радиоэлектронных средств технологии Wi-Fi необходимо получить разрешениена использование радиочастотного спектра, а также зарегистрировать оборудование.

Речь идет о регистрации как хотспотов, так и домашних маршрутизаторов и встроенных в ноутбуки, смартфоны и КПК приемо-передающих устройств. Размещение любых радиоэлектронных средств на территории городов Москвы и Санкт-Петербурга должно также согласовываться с Федеральной службой охраны и Федеральной службой безопасности.

То есть, если предположить, что использовать даже встроенные в ноутбуки, КПК, смартфоны и иные мобильные устройства средства Wi-Fi нельзя без регистрации и разрешения на использование радиочастоты, как пишет г-н Карпов, то в ближайшее время можно ожидать рейдов по Интернет-кафе и торгово-развлекательным центрам, где зачастую предоставляется возможность работать в Интернет, по сбору «незаконных радиоэлектронных средств». Если же регистрировать надо только хотспоты, то конфискация угрожает как минимум домашним маршрутизаторам (модема с Wi-Fi).

Бред ? Правда ?
Что думаете ?

DNS server

В сети MSK-IX размещены локальный узел корневого cервера F.root доменной системы имен (DNS) и локальный узел корневого DNS-сервера зоны RU.

Доступ к локальным узлам корневых DNS-серверов позволяет повысить надежность и скорость отклика службы DNS и предоставляется всем участникам Московского Internet Exchange без дополнительной оплаты.

Узел корневого DNS-cервера F.root находится под управлением Internet Systems Consortium. Для доступа к корневому DNS-cерверу F.root участнику MSK-IX необходимо установить пиринговое взаимодействие с автономной системой AS30124. Техническую информацию, необходимую для установления взаимодействия, можно найти по адресу http://www.isc.org/ops/peering/.

Узел корневого DNS-сервера зоны RU находится под управлением РосНИИРОС, выполняющего функции Технического центра домена RU. Для доступа к корневому DNS-серверу зоны RU участнику MSK-IX необходимо установить пиринговое взаимодействие с автономной системой AS43832. Техническую информацию, необходимую для установления взаимодействия, можно найти по адресу https://registry.ripn.net/dnsru1.php.

Для пользователей службы Route Server пиринговое взаимодействие с автономными системами, содержащими локальные узлы корневых DNS-серверов F.root и зоны RU, устанавливается автоматическ