Envenenando los DNS de Telefónica

#1   Dejad de toquetear, que como lo rompáis os va a caer una buena

#2   Relacionada: meneame.net/story/publicados-varios-exploits-para-vulnerabilidad-dns
Repito, es MUY importante migrar a OpenDNS tal y como se recomienda.

#4   Yo se lo he explicado a mi jefe que me pilló viendo la página putascalentitas.com, y le dije que era por las DNS, pero no parece muy convencido.

#0 #2 Lo de usar OpenDNS no lo encuentro en en la noticia. ¿Es opinión?

#5   Aquí tendrían que ir rodando cabezas y tal...

#6   #5 Si cae alguna cabeza lo más seguro es que sean las de los que lo han denunciado y / o las de los que lo han descubierto.

#7   Los chicos de bandaancha.st han conseguido
En el artículo no dice que lo hayan conseguido

#8   Para usar OpenDNS es tal senzillo como ir a propiedades de conexiones de red->propiedades del protocolo TCP/IP y cambiar los servidores DNS por estos dos:

DNS primario
* 208.67.222.222
DNS secundario
* 208.67.220.220

Mas info aqui:
www.opendns.com

#9   Para #7
Yo diria que esto:

Realmente lo que hemos hecho es inyectarle un información falsa sobre el dominio dnspoisoning.bandaancha.eu que hemos creado para la ocasión. Sus DNS autoritativos apuntan a la IP
89.248.99.20 y el exploit lo que hace es envenenar el servidor con información falsa de modo que apunte a la IP 89.248.99.18.

Es que lo han conseguido

#10   A mi lo que no me hace gracia es que por culpa de la negligencia de otros, acabe pagando yo.

Y me estoy refiriendo a la negligencia por parte de Telefónica

#12   Ja.... Ja.... ¡como les gusta jugar a los niños!

#13   que rápido llego a portada.......

#15   Soy una ignorante del asunto. ¿Alguien podría explicármelo de manera que lo entienda? Gracias.

#18   #16 Gracias. Perfectamente claro. Eres un figura. Votito pa tí. Abracetes.

#19   Para #4 y #17
Bueno, no es una opinion, es la recomendacion que se hizo desde www.kriptopolis.org/
Para mi, la opinion de esta página me merece toda la credibilidad del mundo.
Nada mas ^^

#20   #17 Los de OpenDNS habrán actualizado a la última versión del software que maneja las DNS en sus máquinas, y los telefónica no. Imagino que es por eso, pero no te lo puedo asegurar al 100%.
De todos modos hay que saber también que éste último soft aunque complica las cosas a los posibles atacantes, tampoco es invulnerable del todo al exploit.

#21   #8 o alguno ¿cómo se hace en Ubuntu? Es que no lo tengo instalado aquí para buscar y es para decírselo a mi primo, que no se entera mucho del tema. Gracias

#23   #20 OpenDNS al ser un servicio tan grande, único y exclusivo para las DNS, tendrán su propio software, para además dar los servicios extras que dan. De hecho, creo que ellos mismos no eran vulnerables cuando se descubrieron las vulnerabilidades (no todos los servicios/servidores DNS lo eran). Hay por ahí una lista de los "softwares" afectados.

#24   Lo de OpenDNS no lo veo claro.

Si la respuesta del servidor DNS de OpenDNS viene replicada de un servidor desactualizado, éste (el openDNS) va a responder erroneamente ya que para él sería la correcta.

No se si me explico.

#25   #21 man resolv.conf

#26   Perdonad mi ignorancia, pero ¿no tendría que hacer algo telefónica? ¿Tenemos que ser los usuarios los que cambiemos los parámetros? Ya sé que es fácil y tal, pero como diría Homer "¿No puede hacerlo otro?". Hablando en serio, si es un problema de seguridad que, por lo que se comenta, afecta a Telefónica (nadie habla de otras empresas), deberían arreglarlo ellos o, como mínimo contactar con los usuarios y pedirles que hagan los cambios.

#27   Para #21
En linux tienes que editar el archivo:
/etc/resolv.conf
y añadir:
nameserver 208.67.222.222
nameserver 208.67.220.220

Tambien por consola:
www.opendns.com/start?device=ubuntu

#28   #26
Tienes toda la razon, pero ya sabemos que en este pais las cosas de palacio van despacio y no es plan de que nosotros paguemos el pato. Para eso estan paginas de informacion como meneame que llegan a mucha gente.

#29   #4 joder, no juegues con la salud poniendo páginas que no existen :____(

#30   #24 El servicio DNS es distribuido, pero tampoco tanto como la gente cree.

Tu consultas al servidor DNS de tu ISP (o a los de openDNS, es lo mismo) y estos si no conocen la dirección IP por la que preguntas se van directos a los root-server, de los root-server obtienen el servidor DNS legítimo y a este es a quien preguntan la IP.

Una vez obtienen la IP la responden a quien la ha preguntado y la guardan para próximas consultas.

Por lo tanto hay 4 partes implicadas (a veces 5):

- Cliente: tu. No es probable que seas víctima directa de un ataque DNS.
- ISP o openDNS: Estos son los que te responden a tí y tienen el cache. Las victimas de este ataque. El openDNS es inmune, los de los ISP también o esperemos que lo sean en breve.
- Root Servers: Estos es muy raro que se vean afectados. Hay pocos (un par de decenas ?) y son los que siempre están mejor protegidos.
- Cache DNS de ISP: Esto es opcional, algunos clientes usan los servidores DNS de su ISP para descargar sus servidores de esta tarea. Estos servidores DNS del ISP pueden ser víctimas del ataque.
- Servidor DNS legítimo de la zona: Este es quien tiene la resolución real. El cache no es necesario y por lo tanto no puede ser falsificado.

Por lo tanto tenemos dos posibles puntos de fallo, los DNS del usuario final y el opcional cache DNS del ISP de quien ofrece la web.

La diferencia principal, y por la que se recomienda openDNS, es porque desde el punto de vista de quien ofrece el servicio éste no puede tener control sobre el DNS de tu ISP, pero si que puede sobre sus servidores DNS legítimos o puede reclamar a los servidores DNS que le hacen de Cache que solucionen el problema o bien temporalmente desactivar el Cache del ISP (reconfigurando los servidores DNS en los root server).

Dicho de otra forma, si eres LaCaixa puedes controlar, y proteger, todo menos el servidor DNS que utiliza el usuario final.

#31   Supongo que ya os habreis dado cuenta de que todo esto no es mas que un bulo para que useis OpenDNS, ¿verdad?.

#32   Vamos a ver el problema es el siguiente. En un servidor seguro, en la actualidad OpenDNS y R (la clablera gallega). Si tu te metes en la URL meneame.net cuya IP es, pongamos, 85.60.45.67.Al entrar en Menéame apuntará siempre a esa dirección IP. Pero en un servidor no seguro y al que le afecta las "DNS envenenadas". Tu entras en meneame.net cuya IP es 85.60.45.67, pero alguien a través del "Poisoning DNS" hace que apunte a 75.40.35.44 que imaginaros que es un servidor ruso, y os descarga un troyano. Esto es grave, pero imaginaros que en vez de menéame.net. Entrais en laCaixa a hacer una transferencia y por culpa de las DNS envenenadas, estas apuntan a una web de "phishing"(una web idéntica a la de "La Caixa").

Esto es mucho más peligroso, que el phishing normal, por que en este veríamos algo como:

www.kravokia.ru/?=https://www.lacaixabp.es/privado/logon.asp

Cuando la web normal es:

www.lacaixabp.es/privado/logon.asp

Por ejemplo el Firefox o el Thunderbird podeis ver realmente a donde a punta un enlace en la barra de estado. Óvbiamente el primer caso es una web falsa.

En el caso de las DNS envenadas la cosa se complica por que no se vé la redirección. Ya que el enlace a punta a la web verdadera y es el momento de la petición al servidor DNS cuando se produce el cambio, en resumen:

Servidor DNS seguro:

1 - Entrámos en www.lacaixabp.es/privado/logon.asp el servidor DNS a punta a la IP real de la web.
2 - Hacemos nuestras gestiones
3 - Salimos

Servidor DNS "envenenado"

1 - Entramos en www.lacaixabp.es/privado/logon.asp pero el servidor DNS a punta una IP ¡ Falsa !, es una web de "phishing" (www.kravokia.ru/?=https://www.lacaixabp.es/privado/logon.asp)

2 - Hacemos nuestras gestiones

3 - Salimos, ¡ pero nos han capturado nuestros datos !

Esto muy resumidamente claro. (Mirar lo que dijo sorrillo en su comentario #30)

Salu2

#33   espero que para cuando Timofónica arregle el entuerto y nos den nuevas DNS o no sean vulnerables las antigüas nos enteremos por aquí, o por los diferentes blogs, porque lo que es por ellos....

#34   El problema realmente es que el DNS de telefónica este devolviendo los datos por cache, ya que el exploit lo que envenena es el cache del DNS Server, porque sino, la petición la dirigiría al Dns del dominio, tal y como han explicado por ahí arriba.

#38   #36 Porque los de OpenDNS usan una técnica muy criticada, redirigir las peticiones a dominios no válidos a un buscador suyo.

Si pones en la url: tacatapumpum.net

Los servidores DNS de reenvían a : guide.opendns.com/?url=tacatapumpum.net

Los de OpenDNS te permiten registrarte y usar opciones avanzadas, desconozco si esto se puede desactivar desde ahí.

Hay bastantes cosas que no me gustan de OpenDNS, una de ellas es la que acabo de comentar, otra es esta: fr.pastebin.ca/689242

Al parecer no se están comportando como deberían y pueden estar ensuciando mucho el servicio DNS. En los DNS de tu ISP eso no pasa (excepto en casos concretos de EEUU donde si ha habido alguna queja).

#39   relacionado (en inglés): bsidestudios.com/blog/2008/07/23/warning-dns-cache-poisoning-can-put-y

#40   #38 A mi me parece justo y ademas es practico acabas encontrando el dominio que buscabas, te dan un servicio y de manera nada intrusiva en lugar de un 404 te devuelven un resultado con valor añadido, a mi no me molesta.

Eres libre de configurar tus dns para que apunten a OpenDNS, en los ISP que hacian esto se configuraban automaticamente por DHCP. No es lo mismo.

#42   #41 Uf, cuanto mas leo de OpenDNS menos me gusta.

Es un servicio lleno de porquería. Tiene filtros activados por defecto que solo puedes desactivar si creas una cuenta (gratuita de momento, eso si) y que solo puedes mantener si usas un cliente Mac/Windows que actualice la IP dinámica cada vez que la cambia tu ISP (para Linux no hay cliente oficial).

El servicio de OpenDNS Search no se puede desactivar. Tampoco se puede configurar el buscador, el que viene es el de yahoo.

Para ciertos casos te redirigen a un proxy que tienen, dicen que son casos excepcionales y siempre con la excusa de crear una mejor experiencia para el usuario.

Veo demasiadas cosas sospechosas y muchos intereses comerciales detrás, creo que se venderán al mejor postor cuando tengan suficiente masa de usuarios y se convertirá en un sistema para publicitar a los anunciantes (si controlas el DNS controlas la forma como se muestran las webs).

No digo que no se utilice durante esta crisis, pero para mi no es un servicio atractivo de cara al futuro.

#43   #41 Para redes grandes se puede usar un servidor DNS interno que resuelva las DNS locales y en caso de no poder lo reenvie al servidor DNS externo (openDNS u otros).

Eso soluciona el problema de la resolución local.

Que exista solución no significa que justifique lo que hacen los de openDNS, me sigue pareciendo fatal.

#44   #38 si te registras puedes cancelar esa redirección
#37 no te has enterado todavía de como funciona opendns ?? tal como está montado solo podría fallar si los root servers son vulnerables y NO lo son..

#45   #44 Falso. No hay esa opción (indícame exactamente donde si estoy equivocado).

Aunque la hubiera no sería viable a menos que uses Windows o Mac si dispones de IP dinámica (lo mas común a nivel residencial).

En este hilo explican porqué no tienen previsto permitir desactivarlo:
forums.opendns.com/comments.php?DiscussionID=158

#46   Gente no os peleeis por OpenDNS (a mí tampoco me hacen mucha gracia). Yo lo que espero es que los ISP, españoles corrigan el error. ¡ Que va siendo hora !.

Salu2

#47   #46 Normalmente no hago esto, pero ... corrige el corrigan por corrijan

#49   #3 Pues si para ti no tiene gracia es que entiendes bien poco del tema, pues es bastante importante este hallazgo, y sobre todo, que lo hayan hecho unos hackers de sombrero blanco en lugar de negro. Si no fuera por ellos, mañana podrías estar viendo una página distinta a la que tú piensas que es ... y no tendrías forma de saberlo.

#50   #21 Sistema-->Administración-->Red y ahí en la pestañita que pone DNS...(primero haz click en "Desbloquear" y mete la contraseña de tu usuario)

#51   Pregunto desde la ignoracia; ¿Y porque en vez de usar los root servers la gente prefiere OpenDNS, controlado por una empresa privada?

#52   #21 --> www.opendns.com/start/ubuntu.php

To avoid having your settings get revoked after reboots, or after periods of inactivity, do this:

$ sudo cp /etc/resolv.conf /etc/resolv.conf.auto
$ sudo gedit /etc/dhcp3/dhclient.conf
# append the following line to the document
prepend domain-name-servers 208.67.222.222,208.67.220.220;
# save and exit
$ sudo ifdown eth0 && sudo ifup eth0

You may be required to change eth0 to your own network device's name if it uses a non-standard name.

#53   #51 Desconozco si poniendo los root servers en los DNS del equipo te funcionaría correctamente, pero en cualquier caso no sería una forma sostenible de funcionamiento.

El concepto distribuido del DNS pretende descargar a los root servers del trabajo que supondría dar servicio a todos los usuarios a la vez.

#54   #45 No existe la opción, sin embargo, para tu información se puede quitar eso del "OpenDNS guide" si te registras y desactivas el proxy y los shortcuts (ambas cosas están en la configuracion avanzada) . Lo he probado esta mañana y funciona perfectamente.

Por otra parte, y volviendo al tema del hilo principal, sobre el tema del envenenamiento, al final Dan Bernstein (el autor de djbdns y qmail entre otros), sera lo que quieras, pero hace casi 10 años que sabia que algo así pasaría (y básicamente se demuestra viendo que tinydns no ha sido nunca vulnerable a esto, aparte de que por construcción el servidor autoritativo y el recursivo son dos programas separados, etc).

#55   #53 de mano NO funcionaria.

Los rootservers son servidores autoritativo (digamos los que almacenan los registros originales de una zona, en caso de los rootservers guardan listados de los proveedores de .com .net, etc ), y lo que necesita un cliente para resolver DNS es la ip de un resolutor recursivo (esto es, un programa, normalmente ofrecido por tu ISP, que "va tirando del hilo" hasta llegar al servidor autoritativo del dominio que solicitas).

Ejemplillo:

Tu pides la direccion de www.google.com a tu resolutor recursivo

Este busca la informacion en los rootservers de quien ofrece .com
Luego pregunta a estos si alguno sirve google.com
Luego pregunta a este cual es el que sirve www.google.com

(bueno es mucho mas complicado que eso, pero esa es la idea original)

Tambien tienes la posibilidad de instalarte un resolutor recursivo, pero en principio es un pelin mas lento, porque suelen tener caches y en este caso solo tendría lo que TU has consultado con anterioridad, no todos los usuarios de tu ISP.

Espero haberme explicado, ma o meno...

#56   #49 bandaancha.st lo que ha hecho es publicitarlo, lo cual me parece perfecto.

El descubrimiento es de Dan Kaminsky (al menos la forma de explotarlo) y lleva un tiempo dando información a distintos proveedores para que corrijan el problema.

Bandaancha.st espero hasta que se creara el exploit (lo cual me parece perfecto), pero tiene merito como medio de comunicación y nada mas (que no es poco por otra parte).

NOTA: Es alarmante el numero de ISPs que NO han actualizado. Por favor, comprobar el vuestro (buscad en kriptopolis.org como se hace o bien ir a la page de kaminsky www.doxpara.com )

#57   Qué bonitas ganas de tocar las narices al personal. Para empezar "hackeando" a mala leche para que el resto del mundo pueda hacerlo y fastidiar a los clientes de la operadora. La verdad, no me parece muy inteligente.

Pero más allá de eso, la operadora indicada es Telefonica-Data, que no es la misma Telefonica exactamente (sí es la misma, pero otra división por así decirlo), que provee adsl, imagenio y todas esas lineas de las que el personal se queja, y cuyas DNS empiezan todas por 80.58 y acaban por 61.250 / 61.254 / 0.33 / 32.97

Ese ISP es más bien para empresas (lo que también puede hacer pupa, claro que sí), pero esta noticia es de un amarillismo fino, fino.

#58   grande josh!!!

#59   #55 Yo tengo un bind9 (un servidor dns, para los no entendidos) instalado en un pc que tengo de servidor en casa (Debian estable). Supongo que si visitase una web distinta cada vez sí que sería más lento, pero teniendo en cuenta que el 90% de las webs que visito son siempre las mismas, gano en velocidad ya que están cacheadas igualmente y accedo al dns via red local, en lugar de lidiar con servidores externos. Eso sin contar que me aseguro que esté bien actualizado.

#61   #46 Normalmente no hago esto, pero ... corrige el corrigan por corrijan

Sorrillo compa, aunque me dí cuenta, llegué tarde para editarlo.

Salu2

#62   Y digo yo.... mientras todos los ISPs no solucionen este problema, no sería una solución fácil y rápida el meter directamente en nuestro fichero de hosts las IPs más criticas utilizadas habitualmente por nosotros (bancos / correo).
Estas entidades no cambian sus IPs habitualmente y si lo hicieran lo actualizamos en cuanto veamos que no rulan y listo. Eso si, siempre consultando la IP de una fuente fiable (lease DNS parcheado).

#63   yo tengo Tele2 y empece a usar las DNS de OpenDNS ya que estas que tenia eran afectada por la vulnerabilidad descubierta.

#64   Yo uso Linux, a otro perro con ese hueso de las dns.