Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

246

Filtrados los detalles del fallo DNS mientras los proveedores españoles siguen siendo vulnerables

Todos los detalles sobre la mega vulnerabilidad del protocolo DNS anunciada recientemente se han hecho públicos. Su descubridor tenía previsto dar algunos detalles a partir del 6 de agosto, pero se le han adelantado.

Esto ocurre mientas los grandes proveedores de internet españoles siguen atendiendo las peticiones DNS de los usuarios que navegan por su red con software vulnerable. Kriptopolis ha publicado algunos resultados utilizando la herramienta puesta a disposición por uno de los descubridores del fallo.

Como dice Jixo en elotrolado.net, no es extraño que veamos intentos de ataques DNS en las próximas semanas en los que se hago uso de esta vulnerabilidad ante la pasividad de los operadores.

Si quieres saber si un servidor DNS es vulnerable (aquí tienes un listado de DNS) solo tienes que configurar tus DNS y utilizar el DNS Checker de doxpara.com.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
    • Pues a mi me pasa una cosa la mar de curiosa: Tengo un…

      Pues a mi me pasa una cosa la mar de curiosa: Tengo un servidor DHCP para toda la red, al que le damos las DNSs de Opendns. Hasta ahi, bien, no?

      Asi que los clientes obtienen su IP, y las DNS de ODNS. Sin fallo.

      Sin embargo, a la hora de hacer el test, me dice que mis DNS son vulnerables, y es mas... Me marca como DNS una IP completamente diferente de la que yo solia usar, y ni que decir tiene que tampoco son las de ODNS...

      Conclusiones?

      Un saludo

        • No tengo nada mejor que hacer ahora mismo... xDDDD Pero…

          No tengo nada mejor que hacer ahora mismo... xDDDD

          Pero gracias por el aporte.

          Parece que ya esta: El problema era el servidor DHCP, que ademas es cache, y claro... JUAS!

          Limpiando la cache y probando ESTE LINK (que es el mimso al que te lleva Doxpara.com, pero ellos lo hacen mas bonito) pues ya confirma que todo esta ok...

          Un saludo

          • pues yo me hago con esto la picha un lio. cambio los DNS y…

            pues yo me hago con esto la picha un lio. cambio los DNS y pongo unos de telefonica que en la lista pone que son seguros. hago la prueba con lo de check dns de doxpara.com y me sale otra ip que no es la que yo tengo puesta en los dns . yo tengo puesto el 80.58.0.33 y al hacer el checkeo me sale 80.58.0.98 y lo de que parece vulnerable y eso. haber que alguien me lo explique.

  • 6

    Hola. para el admi: En el analizador de DNS habeis puesto…

    Hola.

    para el admi:

    En el analizador de DNS habeis puesto servidores que poneis que no están afectados cuando a mi si me dan como afectados. Pongo lo que he realizado:

    pedro_y_vir@linux:~> dig +short @80.58.0.33 porttest.dns-oarc.net txt
    ;; connection timed out; no servers could be reached

    pedro_y_vir@linux:~> dig +short @212.145.4.98 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "212.145.4.98 is POOR: 30 queries in 25027.0 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @62.36.225.150 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "85.62.240.23 is POOR: 26 queries in 4.5 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @87.216.1.65 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "87.216.1.65 is POOR: 31 queries in 4.4 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @ 62.37.228.20 porttest.dns-oarc.net txt
    dig: couldn't get address for '': not found

    pedro_y_vir@linux:~> dig +short @62.37.228.20 porttest.dns-oarc.net txt

    pedro_y_vir@linux:~> dig +short @62.151.2.65 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "62.151.2.8 is POOR: 65 queries in 123.6 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @80.58.0.97 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "80.58.0.102 is POOR: 32 queries in 4.6 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @212.4.96.21 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "80.58.34.38 is POOR: 35 queries in 4.4 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @62.37.236.200 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "62.37.236.200 is POOR: 27 queries in 6.5 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @212.4.96.21 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "80.58.34.38 is POOR: 33 queries in 4.4 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @212.4.96.22 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "80.58.34.38 is POOR: 33 queries in 4.4 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @87.216.1.65 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "87.216.1.65 is POOR: 30 queries in 4.4 seconds from 1 ports with std dev 0.00"

    pedro_y_vir@linux:~> dig +short @195.235.113.3 porttest.dns-oarc.net txt
    ;; connection timed out; no servers could be reached

    pedro_y_vir@linux:~> dig +short @212.55.8.132 porttest.dns-oarc.net txt

    Como ejemplo este esta bien:

    pedro_y_vir@linux:~> dig +short @208.67.222.222 porttest.dns-oarc.net txt
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    "208.69.34.10 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 16888.35"

    Un saludo.

    • 12

      Las DNS de OpenDNS.com son seguras y muy eficaces, DNS…

      Las DNS de OpenDNS.com son seguras y muy eficaces,

      DNS primario: 208.67.222.222

      DNS secundario 208.67.220.220

      Saludos.

  • Lista blanca y negra de ISP vulnerables

    Probablemente lo mejor que podemos hacer es añadir a BandaAncha o alguna web similar una lista de los ISP españoles que no son vulnerables. Debemos hacer publico que a través de estos operadores se tiene un nivel de seguridad correcto y que a través de los otros se puede sufrir un ataque sin posibilidad de protección por nuestra parte.

    Con este modelo, corregir el DNS se convertirá en una ventaja competitiva comercialmente visible y los ISP se molestarán en arreglarlo.

    Porque como les dejemos a su libre decision, ...

    Ah, los servidores DNS de ONO bajo las direcciones 62.42.230.24 y 62.42.63.52 son vuilnerables a las 22:00 del 22 de Julio de 2008. Ono deberia ir a la lista negra de los que no podemos usar banca por internet gracias a su desidia.

    • En el enlace "DNS checker" te vas a una pagina que tiene un…

      En el enlace "DNS checker" te vas a una pagina que tiene un boton "Check My DNS". Al pulsarlo justo debajo se carga otra pagina que te dice "Your nameserver at xx.xx.xx.xx appears to be vulnerable" (tu servidor de nombres en la direccion xx.xx.xx.xx parece ser vulnerable).

      Cambiando tu DNS en la configuraicond e tu PC puedes comprobar el DNS que quieras.

  • Sería interesante que algún experto en la materia analizase…

    Sería interesante que algún experto en la materia analizase las repercusiones legales que puede tener un caso de fraude por internet utilizando esta vulnerabilidad, ya que esto es posible por clara desdia de los operadores, que conocen el problema pero no hacen nada por solucionarlo.

    Yo consulté por correo con Telefónica, pero me dijeron que llamase al 902. Seguí insistiendo y al final recibí un mail en el que me decían que mi consulta había sido enviada al departamento correspondiente, pero no he recibido respuesta alguna.

    Yo por mi parte conservo esos correos, y si sufro un fraude utilizando la banca oline, por ejemplo, y es debido a esta vulnerabilidad, estudiaría emprender aciones legales contra Telefónica.

    • BocaDePez BocaDePez
      6

      Y teóricamente, estarías en lo cierto. Pero serías David…

      Y teóricamente, estarías en lo cierto. Pero serías David contra Goliath. Te enfrentarías a miles de recursos y apelaciones que prolongarían el proceso durante años, y un largo etcétera que todos conocemos y no hace falta redactar.

      • Pues si, pero tarde o temprano, los recursos se acaban, y…

        Pues si, pero tarde o temprano, los recursos se acaban, y entonces...

        Ademas, mas que la accion judicial, lo que ams daño le haria a un ISP es esas circunstancias seria la publicidad negativa que se generaria...

        Un saludo

  • 6

    Durante todo el dia de hoy las dns de jazztel petaban casa…

    Durante todo el dia de hoy las dns de jazztel petaban cada poco y las webs no iban. ¿Tiene algo que ver con esta noticia?

    • BocaDePez BocaDePez
      6

      608.67.220.220 608 ? será 208 porque 608 como no es ninguna red

      608.67.220.220

      608 ? será 208 porque 608 como no es ninguna red

  • 12

    y luego

    Y luego uno se encuentra con el conocido q no navega por miedo a virus pero se ve obligado por el email ,o la publicidad 'internetiza' a tu progimo

    NO SE YO PQ SERA ESE ESCEPTICISMO ,vamos q si los isp achacaran perdidas por esta gente , básicamente se lo han ganado a pulso

    No me extrañaria recibir una llamada del isp de aumento de precio por dns seguro ,osea sin vulnerabilidad , o paga barato y bajo tu responsabilidad

  • BocaDePez BocaDePez
    0

    El dinero que se puede llegar a ganar sabiendo una…

    El dinero que se puede llegar a ganar sabiendo una vulnerabilidad así no tiene limites.

    Cuanto pagaria una mafia para saber segun que informaciones? y los gobiernos?

    Esto de internet es una KAKADELABAKA

    • Ni que le hiciera falta Internet a la mafia y cia para…

      Ni que le hiciera falta Internet a la mafia y cia para enterarse de segun que cosas...

      Eso no es preocupante: Lo preocupante es que con esta vulnerabilidad al descubierto, cualquiera (bueno, cualquiera no, pero ya entendeis...) puede diseñar un macroataque a la banca electronica y dejarnos sin un can.

      Pues es lo que faltaba...

      Y lo saben. LO SABEN!!. Y o no hacen nada, o no saben que hacer.

      Y no se cual de las dos alternativas es peor...

      Un saludo

  • BocaDePez BocaDePez
    6

    Pero bueno, la unica solucion OPENDNS   pero bueno, si…

    Pero bueno, la unica solucion OPENDNS

    pero bueno, si opendns, los ns son en USA!!! mas PING POR FAVOL

1