Saturday, March 22, 2014

DNSSEC - Antes tarde do que nunca


[ Update 22/03/2014 ]

Três anos depois, parece que o "nunca" ganhou do "antes tarde"?

DNSSEC Has Failed

O autor do artigo acima tem razão em alguns pontos, especialmente o que tange a complexidade da implementação adequada do DNSSEC ("To enable DNSSEC we have a “tutorial” by Olaf Kolkman which spans a whopping sixty-nine pages. DNS engineers can get trainings, which always take multiple days.")

[ Update 20/11/2011 ]

Seguem alguns sites que podem ser usados para verificar o status de implementações de DNSSEC (incluindo delegações / cadeia de autenticações / etc.. )

  1. Sandia Laboratories: http://dnsviz.net/
  2. IIS.SE: http://dnscheck.iis.se
  3. Verisign: http://dnssec-debugger.verisignlabs.com/

[ Update: 31/05/2010 ]

Atenção administradores de DNS Recursivos brasileiros - reproduzo abaixo informações de configuração DNSSEC postadas no GTS por Frederico Neves do registro.br incluindo a nova KSK key da zona .br:
Senhores(as),

Conforme a nossa "Política de publicação e administração de chaves DNSSEC" [1], desde 31/05/2010 estamos utilizando uma nova chave KSK para a zona .br. A nova chave com key id 41674 juntamente com exemplos de configuração para BIND e UNBOUND pode ser obtida abaixo [3] ou em nosso site [2].

A chave em uso desde 24/06/2008, com key id 18457, deixará de ser utilizada a partir de 26/07/2010.

Se você administra servidores DNS recursivos que estejam com DNSSEC habilitado, não se esqueça de atualizar a chave do .br na configuração de seu servidor. A substituição da chave ancorada em seu servidor DNS pela nova KSK do .br deve ser feita antes do final do período de rollover, que se encerra em 26/07/2010.

É esperado que este seja o último rollover manual uma vez que a raiz será assinada em breve e as próximas trocas de chaves serão efetuadas de forma automática.

Atenciosamente,
Frederico Neves

[1]
http://registro.br/info/dnssec-policy.html
[2]
https://registro.br/ksk/index.html
[3]
*DNS RR
br. IN DNSKEY 257 3 5 (
AwEAAblaEaapG4inrQASY3HzwXwBaRSy5mkj7mZ30F+h
uI7zL8g0U7dv7ufnSEQUlsC57OHoTBza+TQIv/mgQed8
Fy4XGCGzYiHSYVYvGO9iWG3O0voBYy/zv0z7ANfrA7Z3
lY51CI6m/qoZUcDlNM0yTcJgilaKwUkLBHMAp9NJPuKV
t8A7OHab00r2RDEVjiLWIIuTbz74gCXOVfAmvW07c8c=
) ; key id = 41674


*BIND trusted-keys config
trusted-keys {
br. 257 3 5
"AwEAAblaEaapG4inrQASY3HzwXwBaRSy5mkj7mZ30F+h
uI7zL8g0U7dv7ufnSEQUlsC57OHoTBza+TQIv/mgQed8
Fy4XGCGzYiHSYVYvGO9iWG3O0voBYy/zv0z7ANfrA7Z3
lY51CI6m/qoZUcDlNM0yTcJgilaKwUkLBHMAp9NJPuKV
t8A7OHab00r2RDEVjiLWIIuTbz74gCXOVfAmvW07c8c=";
};


*UNBOUND trust-anchor config
trust-anchor: "br. DS 41674 5 1 EAA0978F38879DB70A53F9FF1ACF21D046A98B5C"

[ Update: 06/05/2010 ]

A mudança de chave para o DNSSEC do último dos 13 root DNS servers foi ontem. A partir de agora todos respondem com uma versão assinada da root zone. A validação das assinaturas ainda não é possível pois as chaves públicas só serão disponibilizadas durante uma cerimônia (txt ICANN) em julho desde ano.

Mais informações:

http://www.h-online.com/security/news/item/DNSSEC-on-all-root-servers-994744.html

Posts Relacionados:

[ Post Original: 21/01/2010 ]

Na próxima semana a Verisign iniciará a configuração do DNSSEC para os domínios .com e .net (2 root servers). O processo envolverá inicialmente todas as empresas e entidades responsáveis pelos 13 root servers e esta fase inicial deve durar até julho deste ano.

O DNS - Domain Name Service - (udp/tcp 53) é um dos protocolos mais importantes da Internet - por ser responsável por resolver os endereços IP aos quais os computadores devem se conectar, a partir de um banco de dados distribuído. É ele que permite que você somente precise se lembrar de nomes simples para acessar utilizar a internet (www.google.com - em vez de 72.24.204.99 ou 2001:4860:0:1001::68 para ipv6).

As RFCs 282 e 283 definiram a implementação DNS em 1982, e depois várias outras detalharam ou alteraram especificações relacionados ao protocolo e/ou serviço DNS - e podem ser verificadas no seguinte link: http://www.dns.net/dnsrd/rfc/.

Num exemplo claro de que as mudanças nem sempre são rápidas quando se trata de segurança - o DNSSEC foi primeiramente proposto em 1997, na RFC 2065.

Em resumo, as extensões DNSSEC oferecem 3 novos record types que trazem mais segurança ao protocolo e indiretamente aos serviços da internet e à sua navegação:

1) processo de distribuição de chaves (KEY/DNSKEY),
2) a certificação da origem de dados (SIG/RRSIG) e,
3) a certificação de transações e requisições (NXT/NSEC).

Ou seja, o DNSSEC pretende proteger a integridade dos dados DNS e garantir que as informações estão vindo da origem correta:

1) os domínios da internet podem se assegurar que eles que somente eles são os responsáveis pelas informações de resolução dos sites que possuem, e

2) usuários - que ao navegar automaticamente fazem resoluções DNS - podem verificar que o resultado obtido veio de uma origem confiável.

Por estes motivos, o DNSSEC é considerada a melhor solução para melhorar a segurança deste serviço fundamental e eliminar o problema de envenenamento de caches DNS (DNS cache Poisoning) - que como sabemos é um ataque muito comum e efetivo hoje.

Em 2007, eu tive a oportunidade de revisar um paper publicado pelo CERT.BR que trata entre outras coisas - de DNS Poisoning - segue o link: http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/.

Além disto publicamos em 2008 uma série de updates sobre a falha descoberta por Dan Kaminski que facilita as explorações de DNS Poisoning utilizando birthday attack. (desde então ele faz uma campanha defendendo a adoção do DNSSEC).

Os efeitos de ataques em servidores DNS são inúmeros, incluindo:

1) Ataque de Negação de Serviço Abusando de Servidores DNS Recursivos Abertos - detalhes aqui.

2) "falso-deface": pois o usuário ao digitar o endereço do site - e resolver o endereço IP no servidor DNS que sofreu o envenenamento - será redirecionado para outro servidor sobre controle do hacker (como foi o caso do Twitter no final de 2009)

3) golpes de phishing em massa ( ou pharming ): ou seja, sem utilização de código malicioso no cliente, que tem o seu servidor de DNS envenenado redirecionando sites de instituições financeiras para outro endereço IP - controlado pelo hacker - era muito comum no Brasil de 2002 a 2005 e ainda é existente por aqui e pelo mundo.

Com relação ao DNSSEC, sabemos que este tipo de alteração em um serviço tão fundamental da internet deve idealmente envolver todos os administradores de DNS's.

Quem já cansou de esperar por 13 anos - desde a primeira RFC que tratou do assunto - pode estar entre os "early adopters" ou - é claro - esperar mais 6 meses - quando todos os root servers estarão OK - para iniciar o trabalho de assinar as zonas, e gerenciar as chaves criptográficas envolvidas nas comunicações entre os resolvers e os servers.

Os passos naturais para tanto são: geração das chaves criptográficas (pública e privada), update do arquivo de zona, configuração de resolver c/ forwarding, publicação da zona e verificação da nova zona assinada.

A tendência natural é que grandes sites adotem o DNSSEC mais rapidamente, para garantir uma maior segurança para eles próprios e para os seus usuários.

Mais informações:

Para acompanhar a evolução da adoção do DNSSEC pelos root servers, acesse http://www.root-dnssec.org/. Para detalhamentos técnicos, visite a seção de documentos:

Este é o timeline previsto:

  • December 1, 2009: Root zone signed for internal use by VeriSign and ICANN. ICANN and VeriSign exercise interaction protocols for signing the ZSK with the KSK.
  • January, 2010: The first root server begins serving the signed root in the form of the DURZ (deliberately unvalidatable root zone). The DURZ contains unusable keys in place of the root KSK and ZSK to prevent these keys being used for validation.
  • Early May, 2010: All root servers are now serving the DURZ. The effects of the larger responses from the signed root, if any, would now be encountered.
  • May and June, 2010: The deployment results are studied and a final decision to deploy DNSSEC in the root zone is made.
  • July 1, 2010: ICANN publishes the root zone trust anchor and root operators begin to serve the signed root zone with actual keys – The signed root zone is available.

É claro que sobra muito espaço ainda para melhoria no DNSSEC e algumas questões precisam ser mais bem trabalhadas, como ataques "Man-in-the-middle" com spoofing, a questão da necessidade de se confiar no resolver, ataques de negação de serviço e dados não encriptados, por exemplo.

Obviamente as preocupações tradicionais de segurança continuam valendo para o DNSSEC - e as principais são manter o serviço instalado de forma adequada e no último patch level possível.

Recentemente foi divulgada uma falha na implementação do DNSSEC pelo BIND (advisory aqui) - que já foi corrigida. As versões atualmente recomendas são: 9.4.3-P5, 9.5.2-P2 or 9.6.1-P3.

Uma excelente discussão e o status da implementação do DNSSEC no Brasil dado pelo Frederico A C Neves do Registro.BR você pode verificar neste vídeo "DNSCurve X DNSSEC" - do FISL 10 (Obrigado Zucco pela dica nos comentários!).


8 comments:

  1. Esta é uma ótima notícia. De fato, antes tarde do que nunca!!

    ReplyDelete
  2. Este é um assunto muito interessante e extremamente importante para todos nós. Como você já comentou, os criminosos cibernéticos já apreenderam como explorar as falhas no protocolo DNS para desviar o acesso a sites reais.
    Apenas quero apontar uma correção: ná sua primeira frase ("Na próxima semana a Verisign iniciará a configuração do DNSSEC para os domínios .com e .net. O processo começará pela raiz ( nos 13 root servers) ... ") é possível tirar a errônea interpretação de que os 13 servidores raíz pertencem 'a VeriSign, quando na verdade, ela gerencia apenas dois deles.
    Felizmente o esforço é de toda a indústria, e envolve todas as empresas e entidades responsáveis por administrar os 13 servidores raíz.

    ReplyDelete
  3. Obrigado por desmistificar um assunto normalmente evitado por todos os admins (inclusive eu! rsrs)

    admin u.i.

    ReplyDelete
  4. Obrigado Luiz e 'admin'.

    Grande Anchises, você tem razão sobre a possível interpretação da frase - já corrigi conforme sua sugestão.

    Obrigado pela ilustre visita.

    S.S.

    ReplyDelete
  5. Chegaste a assistir essa apresentação?

    http://stream.softwarelivre.org/video/dnscurve-x-dnssec

    ReplyDelete
  6. Chegaste a assistir essa apresentação?

    http://stream.softwarelivre.org/video/dnscurve-x-dnssec

    ReplyDelete
  7. Nao tinha visto Zucco, mas achei excelente e já acrescentei ao final do POST.

    Obrigado pela colaboração!

    Sandro Süffert

    ReplyDelete
  8. Muito bom

    Abraços,
    Ranieri Marinho de Souza
    http://blog.segr.com.br

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)