Elkri escribió:vale las operadores españolas son unas inutiles, pero alguien sabria decirme por que horas/dias despues de salir esta vulnerabilidad aparentemente ya estabamos seguro y ahora nuevamente aparecemos como vulnerables?
Creo que es porque han extendido la prueba (kaminsky) a las peticiones recurrentes, por lo que si tu DNS asignado es seguro pero los que tiene de raiz no lo son, la prueba falla. Y me imagino que de ahi vendra el problema, porque si es cierto que a estas alturas aun no han parcheado los DNS principales, es para matar a los admins.
A ver cuanto tarda en salir algo en milw0rm, que bastante esta aguantando por ahora. Aunque si es lo que se supone que es, tampoco tiene demasiado misterio: Un birthday attack un poco mas ingenioso y punto. Por si alguien no sabe ingles, la idea parece ser:
Quieres envenenar las respuestas para bancosantander.es en el servidor DNS de telefonica. Haces muchas preguntas al servidor DNS de telefonica sobre cual es la ip asociada a direccioninventandayquenoexiste24232.com, y el DNS de telefonica lo preguntara al DNS raiz de .COM. Ahi entra el ataque del cumpleaños (los que hayan estudiado estadistica, les sonara) y, como el puerto es siempre el mismo, solo hay que adivinar el ID de la transaccion, que es bastante sencillito. Asi que tu mismo envias respuestas al DNS de telefonica con una ip spoofeada haciendote pasar por el servidor DNS de .COM, diciendo que el DNS de la zona de autoridad de direccioninventadayquenoexiste24232.com es ns.bancosantander.es y su ip es 40.40.40.40 (la ip maliciosa a la que quieres redirigir bancosantander.es). Asi, queda registrada en la cache del DNS de telefonica y cuando accedes a bancosantander.es .... la liamos.
De ser cierto esto, le han jodido el hype al pobre Kaminsky
Y si me he equivocado en algo, por favor, corregidme
