Comments on tabo :: para todos y para nadie: Vulnerabilidad: Servidores de DNS peruanos

ROCHE CON SUNATParece que SUNAT esta en problemas:...

2008-08-01T15:28:00.000-05:00

ROCHE CON SUNAT

Parece que SUNAT esta en problemas:

> www.sunat.gob.pe
Server: ns1.impsat.net.pe
Address: 200.41.96.24#53

Non-authoritative answer:
Name: www.sunat.gob.pe
Address: 190.81.33.214
> www.sunat.gob.pe
Server: ns1.impsat.net.pe
Address: 200.41.96.24#53

Non-authoritative answer:
Name: www.sunat.gob.pe
Address: 64.76.79.214
> www.sunat.gob.pe
Server: ns1.impsat.net.pe
Address: 200.41.96.24#53

Non-authoritative answer:
Name: www.sunat.gob.pe
Address: 64.76.79.214
> www.sunat.gob.pe
Server: ns1.impsat.net.pe
Address: 200.41.96.24#53

Non-authoritative answer:
Name: www.sunat.gob.pe
Address: 64.76.79.214
> www.sunat.gob.pe
Server: ns1.impsat.net.pe
Address: 200.41.96.24#53

Non-authoritative answer:
Name: www.sunat.gob.pe
Address: 192.168.12.10

En RCP el domino se delego a IMPSAT pero parece que ellos a su vez lo delegaron a los DNS de SUNAT

nslookup -qt=any sunat.gob.pe 200.41.96.24

Server: ns1.impsat.net.pe

Address: 200.41.96.24

sunat.gob.pe

primary name server = ns1.impsat.net.pe

responsible mail addr = internet.impsat.net.pe

serial = 2008053017

refresh = 10800 (3 hours)

retry = 3600 (1 hour)

expire = 604800 (7 days)

default TTL = 86400 (1 day)

sunat.gob.pe nameserver = ns1.impsat.net.pe

sunat.gob.pe nameserver = ns2.impsat.net.pe

sunat.gob.pe MX preference = 10, mail exchanger = ns.sunat.gob.pe

sunat.gob.pe MX preference = 20, mail exchanger = ns1.sunat.gob.pe

ns1.impsat.net.pe internet address = 200.41.96.24

ns2.impsat.net.pe internet address = 200.41.96.26

ns.sunat.gob.pe internet address = 64.76.79.131

ns1.sunat.gob.pe internet address = 64.76.79.135

Para los que seguían esta discusión, ya se hizo pú...

2008-07-22T12:48:00.000-05:00

Para los que seguían esta discusión, ya se hizo pública la vulnerabilidad (mitad "descubierta", mitad confirmada "accidentalmente" por alguien que la conocía).

http://beezari.livejournal.com/141796.html

@Miguel:Normalmente no respondo ese tipo de cosas ...

2008-07-21T11:58:00.000-05:00

@Miguel:

Normalmente no respondo ese tipo de cosas y dejo que queden mal solitos, tampoco soy de borrar comentarios a menos que caigan ya en lo totalmente fuera de lugar, pero en este caso respondí porque por el tono, se quien lo escribió :-)

Un abrazo!

Hola tabo, no te molestes con la gente que publica...

2008-07-21T08:47:00.000-05:00

Hola tabo, no te molestes con la gente que publica un comentario sin firmarlo, se nota que es solo por molestar, al final uno sabe lo que vale como persona, tu articulo esta bueno y creo q te daras cuenta por la cantidad de visitas y referencias que tenga tu post. ademas todos conocemos tu modestia :p
Saludos y ojala todo te siga yendo bien.
Miguel Angel

@Pedro:Puedes usar la utilidad gratuita por web pu...

2008-07-19T11:44:00.000-05:00

@Pedro:

Puedes usar la utilidad gratuita por web publicada por el mismo Kaminsky. Mira la opción "Check my DNS" en www.doxpara.com

Estaba pensando hacer una utilidad web que permita revisar la seguridad de cualquier DNS (básicamente ponerle una interfaz web a los chequeos que hago desde mi consola). Si tengo tiempo antes del disclosure lo hago.

@anónimo:

No sabes leer? En el título del blog dice claramente "para todos y para nadie" :) Es OBVIO para cualquiera con criterio (naturalmente tu no cuentas aquí) que, como repito, este artículo no es, ni nunca pretendió ser, un disclosure orientado a administradores de red o especialistas de seguridad. Para ellos esta noticia ya era vieja de mas de una semana (si hasta ha salido en Reuters, la BBC, en CNN!).

La intención con esto era levantar awareness, y en eso, muy a pesar de lo que puedas pensar, no fue un tiro por la culata: ha sido un TOTAL EXITO

Escuché por ahi también comentarios que decían que hacía esto para ganar dinero en consultorías. Nadas mas lejos de la verdad: estos últimos días he dedicado buena parte de mi tiempo a ayudar a administradores de ISPs y redes a solucionar este problema SIN COBRAR UN CENTAVO. Y lo voy a seguir haciendo. Asi que este es otro argumento totalmente mezquino que quiero desbaratar desde ya.

Saludos

- tabo

Tu articulo debe estar dirigido a personas "end-us...

2008-07-19T02:56:00.000-05:00

Tu articulo debe estar dirigido a personas "end-user", o gente novata. O es que crees que vas a "impresionar"? Porque para las personas serias, que viven de la segurudad informatica, tu articulo no vale nada, y no dice nada nuevo. Se sabe hasta el hartasgo que telefonica y muchos ISP peruanos tienen la seguridad informatica por los suelos y es la ultima rueda del coche. Y encima te "erizas los pelos", no sabemos a ciencia cierta que tan complejo sera implementar la vulnerabilidad que mencionas. Se nota que solo QUIERES LLAMAR LA ATENCION Y TE SALIO EL TIRO POR LA CULATA.

Hola Gustavo:Estado revisando el tema de la vulner...

2008-07-15T10:18:00.000-05:00

Hola Gustavo:

Estado revisando el tema de la vulnerabilidad de los servidores DNS y ya corrí la actualización del servidor para corregirla y hasta ahora sin problemas, pero como saber si se aplico correctamente el parche en el caso de que se sea autoridad de un dominio.

Saludos,

@Manguito:No se en que momento le dije "dummies" a...

2008-07-15T05:04:00.000-05:00

@Manguito:

No se en que momento le dije "dummies" a los lectores del blog. Por otro lado, no se si te diste cuenta pero el artículo me quedó un poco largo para un blog, así que las advertencias de "ignora esta parte por X o Y motivos", era solo una cortesía para lectores interesados solo en la carnecita del post.

@Ernesto:

Gracias por la observación, ya agregué que significa exactamente los colores en una leyenda en el spreadsheet.

Y sobre lo de "hasta un MCSE va a entender...", pues le robo un poco el estilo a Jamie Zawinsky y a Mark Pilgrim y digo: "You must be new here" ;-)

Este es un blog informal, personal y que se debe tomar con mucho buen humor. Tengo otro blog que es mucho mas técnico y aburrido, pero está en inglés y ningún lector se iba a interesar en este problema nacional.

Este artículo en particular no es un disclosure, no es una investigación exhaustiva. Mi intención es solo publicar los resultados de un pequeño script que corre en el shell de UNIX y da los resultados que necesito para levantar un poco de "awareness". Y las comunicaciones que he recibido el primer día desde bancos y ministerios indican que el "awareness raising" funcionó.

Para terminar, no tengo _nada_ contra Microsoft, es solo que soy partidario de usar la mejor herramienta para cada labor. Windows es bueno como plataforma de juegos (ahi juego Portal y Team Fortress 2), y también para el media center con windows vista que he puesto en mi sala. Para cosas serias existe UNIX, y los que no entienden UNIX estan condenados a reinventarlo pobremente ;-)

Disfruta tu estadía con buen humor!

Buena info, lastima eso de "hasta un MCSE va a ent...

2008-07-15T02:47:00.000-05:00

Buena info, lastima eso de "hasta un MCSE va a entender"....

Por cierto, hace dos semanas que en la empresa se nos pidio esa actualizacion como medida urgente, el problema es cuando en el cliente te capan el Windows Update ......

Por cierto, rojo que significa en el cuadro? es bueno o malo? nic.pe delega a ns.rcp.net.pe?

Gustavito!Cuanto ego con dosis de soberbia. No hab...

2008-07-14T23:33:00.000-05:00

Gustavito!
Cuanto ego con dosis de soberbia. No había tanta necesidad (o necedad) de decirnos varias veces: dummies salten esto y lo otro.

@Luis:Han habido todo tipo de problemas, como los ...

2008-07-14T19:49:00.000-05:00

@Luis:

Han habido todo tipo de problemas, como los suele haber cuando se actualizan servidores críticos. Entre otras cosas:

- Paquetes de actualización del vendor rotos (tengo entendido que esto pasó con Centos 5)

- Migraciones forzadas de BIND8 a BIND9 (ya bind8 recibió oficialmente el anuncio de no mas soporte)

- Migraciones innecesarias de bind93 a bind94 o bind9[34] a bind95

- Compilaciones a mano de bind93 con el multithreaded activado al ver que los vendors no publicaban parches

- Las cosas raras de bind 9.5

- Lo más probable: problemas de red al tener que abrir necesariamente los puertos UDP para que el Name Server responda las peticiones.

- Relacionado con el punto anterior pero por el lado del cliente, los usuarios de windows que usan ciertos productos de firewall como Zone Alarm quedan desconectados de internet.

Ojo que hay parches para el lado del cliente en windows también, pero se supone que las actualizaciones allí son automáticas. Si no lo son, pues probablemente el usuario tenga ya suficientes problemas de seguridad como para preocuparse por uno mas :)

- tabo

Hola Gustavo : ¡ Felciitaciones por el artículo !!...

2008-07-14T14:40:00.000-05:00

Hola Gustavo :

¡ Felciitaciones por el artículo !!! (muy claro y específico).

Una cosulta, tengo entendido que los parches (actualizaciones) que publica BIND en su web están generando problemas en los servidores, motivo por el cual los ISPs han tenido que "retroceder" en sus actualizaciones y están a la espera de que BIND corrija y publique los nuevos "parches".

Podrías comentar algo al respecto ?

Muchas gracias por tun gentil respuesta.

Saludos,

Luis