brainslicer Postad 24 Juli , 2008 Rapport Postad 24 Juli , 2008 Viktigt att patcha DNS-servrar som fortfarande är sårbara http://www.sitic.se/publikationer/namnvart/viktigt-att-ratta-dns-servrar-som-fortfarande-ar-sarbara Sitic vill påminna om vikten av att patcha DNS-servrar som fortfarande är sårbara för SR08-230. Exploit-kod som utnyttjar sårbarheterna finns nu tillgänglig publikt och det finns indikationer på att koden aktivt används. Dan Kaminsky har ett verktyg på sin blogg som kan avgöra om en besökares DNS-server är sårbar. Verktyget finns här: http://www.doxpara.com Observera att DNS-servrar som är patchade, men som är placerade bakom en enhet som utför NAT (Network Adress Translation) fortfarande kan vara sårbara. Tom Cross på X-Force skriver om problemet här: http://blogs.iss.net/archive/dnsnat.html Michael Rash skriver om hur IP-tables kan användas för att skydda en sårbar DNS-server genom att implementera användadet av slumpvist valda portar: http://cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-attacks-with-iptables.html Här finns en snort-signatur som kan upptäcka försök till utnyttjande av sårbarheterna: http://www.emergingthreats.net/content/view/87/9/ 2008-07-24 10:38 när man läser runt så har tydligen inte alla ISP ännu åtgärdat detta: så kan du vara säker på att du verkligen är på pokerforum.nu? eller en kopia av sajten? eller har nån omdirigerat aftonbladet.se, kanske neteller, svenskaspel......tråd på fb: https://www.flashback.info/showthread.php?t=705691 Kontakta din ISP omedelbums om verktyget http://www.doxpara.com säger att dina DNS-servrar är sårbara för attacken. ______________________________________ Allvarlig internetbugg publicerad av misstag http://www.idg.se/2.1085/1.172074 En vd på ett säkerhetsföretag råkade igår publicera detaljer kring en allvarlig bugg i internets dns-servrar på sin blogg. Trots att blogginlägget snabbt togs bort så hann den känsliga informationen läcka ut på internet. För drygt två veckor sedan uppdaterade flera stora programleverantörer mjukvaran i sina respektive dns-programvaror i hemlighet. Anledningen var att en bugg påträffats i internet dns-protokoll som gör det möjligt för en hackare att styra om internettrafiken. Detaljer kring buggen hölls hemlig och inblandade parter kom överens om att inte publicera någon information om buggen innan Black Hat security conference som går av stapeln den 6 augusti. Anledningen till mörkläggningen var att internetleverantörer skulle hinna uppdatera sina programvaror i rimlig tid. Thomas Dullien som är vd på säkerhetsföretaget Zynamics.com kommenterade igår detaljer kring dns-buggen i sin personliga blogg. Enligt Thomas Dullien så är han ingen expert på dns-servrar och hävdar att han endast gissade hur buggen fungerar. Det visade sig att Thomas Dullien gissade helt rätt. När han blev kontaktad av ett säkerhetsföretag som upplyste honom om situationen så tog han bort blogginlägget inom fem minuter. Det var dock försent då informationen redan läckt ut på internet. Säkerhetsexperten Dan Kaminsky var den som upptäckte buggen för flera månader sedan och även koordinerade programleverantörernas insats. Enligt Kaminsky så är det bråttom för de internetleverantörer och företag som inte redan uppdaterat sina system att göra det omedelbart. På webbsajten Doxpara.com går det att kontrollera om din internetleverantör har åtgärdat problemet i den programvara som används av internetleverantörens dns-servrar. Citera
gdaily Postad 24 Juli , 2008 Rapport Postad 24 Juli , 2008 när man läser runt så har tydligen inte alla ISP ännu åtgärdat detta: så kan du vara säker på att du verkligen är på pokerforum.se? eller en kopia av sajten? eller har nån omdirigerat aftonbladet.se, kanske neteller, svenskaspel...... Där vill du väl ändå inte vara... Citera
brainslicer Postad 24 Juli , 2008 Författare Rapport Postad 24 Juli , 2008 Där vill du väl ändå inte vara... lol...de biltt lite fel jo, hade ändrat det innan ditt inlägg...men som i artikeln ovan hann tydligen nån se det Citera
Juggler Postad 24 Juli , 2008 Rapport Postad 24 Juli , 2008 Man kanske ska börja använda opendns ändå. Citera
MrFroggyX Postad 25 Juli , 2008 Rapport Postad 25 Juli , 2008 Ja opendns är skitbra! Mycket snabbare, stabilare och säkrare. Har änvänt det snart två år. Funkar klockrent, speciellt eftersom min ISP dns suger rätt så hårt här i Thailand. Men även som i detta fallet blir det ju mycket säkrare än att tvingas vänta på att ISP dns tekniker ska få ändan ur röven och patcha sin dns. Citera
MrFroggyX Postad 25 Juli , 2008 Rapport Postad 25 Juli , 2008 http://www.opendns.com Bara att gå in i nätverks inställningar och peka om till deras två DNS servrar. Man kan om man vill göra ett konto och ladda ner ett program så får man massa fler funktioner, typ phishing filter, få statistik osv Men det är friviligt. För mig funkar det bra utan det. Citera
gdaily Postad 25 Juli , 2008 Rapport Postad 25 Juli , 2008 OpenDNS protects millions of people a day across hundreds of thousands of schools, businesses and homes. We block phishing sites, give you the power to filter out adult sites and proxies among more than 50 categories, and provide the precision to block individual domains.Finns det inte någon som har en tvärt-om funktion? Jag skulle vilja ha ett Internet som bara sbestår av Sex, Sprit och Spel, så man kan slippa alla störande kakrecept och liknande. Citera
Cyklop Postad 27 Juli , 2008 Rapport Postad 27 Juli , 2008 Ja opendns är skitbra! Mycket snabbare, stabilare och säkrare. Har änvänt det snart två år. Funkar klockrent, speciellt eftersom min ISP dns suger rätt så hårt här i Thailand. Men även som i detta fallet blir det ju mycket säkrare än att tvingas vänta på att ISP dns tekniker ska få ändan ur röven och patcha sin dns. Men hur pass pålitliga är de som administrerar opendns? Teoretiskt sett kan de väldigt enkelt omdirigera en dns-uppslagning till en server med trojan/spyware installation och sedan sitta pss Absolute Poker-gänget och se dina hålkort. Citera
brainslicer Postad 27 Juli , 2008 Författare Rapport Postad 27 Juli , 2008 Läsa, söka, undersöka, det är väl det som gäller...om du inte tar nån annans ord för det... PowerDNS and MaraDNS är tex två andra tjänster som inte var sårbara för denna buggen... How OpenDNS, PowerDNS and MaraDNS remained unaffected by the DNS cache poisoning vulnerability http://blogs.zdnet.com/security/?p=1562 Citera
TotalFarsa Postad 27 Juli , 2008 Rapport Postad 27 Juli , 2008 Ville bara säga att jag ler inombords varje gång jag ser denna rubrik. [/off topic] Citera
MrFroggyX Postad 28 Juli , 2008 Rapport Postad 28 Juli , 2008 Men hur pass pålitliga är de som administrerar opendns? Teoretiskt sett kan de väldigt enkelt omdirigera en dns-uppslagning till en server med trojan/spyware installation och sedan sitta pss Absolute Poker-gänget och se dina hålkort. Helt sant. Men det kan även min ISP DNS tekniker/nörd göra. Finns väl inget du är 100% säker över i dagens datasamhälle. Citera
frekje Postad 28 Juli , 2008 Rapport Postad 28 Juli , 2008 Helt sant. Men det kan även min ISP DNS tekniker/nörd göra. Finns väl inget du är 100% säker över i dagens datasamhälle. Skrivmaskin och Posten, ska mycket till om någon hackar deras DNS. Citera
slaskpoker Postad 28 Juli , 2008 Rapport Postad 28 Juli , 2008 Your name server, at 212.56.xxx.xxx, appears vulnerable to DNS Cache Poisoning. mäh Citera
brainslicer Postad 28 Juli , 2008 Författare Rapport Postad 28 Juli , 2008 för dom som nu gillar att testa och plåga(vem gör inte det), en lite mer ingående test... DNS Operations, Analysis, and Research Center https://www.dns-oarc.net/ Citera
brainslicer Postad 29 Juli , 2008 Författare Rapport Postad 29 Juli , 2008 Ville bara säga att jag ler inombords varje gång jag ser denna rubrik. [/off topic] Man kan även fråga sig om uppdaten till java verkligen kom från Sun, Mac/iTunes osv patchen kom från Apple, osv.... Exploit code targets Mac OS X, iTunes, Java, Winzip... http://www.theregister.co.uk/2008/07/28/pwning_security_updates/ It works only when a man-in-the-middle attack has first been carried out, but thanks to the domain name system vulnerability that has dominated security coverage ever since researcher Dan Kaminsky sounded the alarm three weeks ago, that's not much of a problem. The demo here shows shows just how effective Evilgrade is now that the exploit code for the devastating DNS bug was folded into Metasploit. It shows how the upgrade feature on Sun's ubiquitous Java runtime environment can be targeted to remotely execute arbitrary code on a fully-patched machine. In addition to iTunes, Mac OS X, Winzip and Java, other programs that Evilgrade can attack include Winamp, Notebook, OpenOffice, Notepad++, Speedbit and the Linkedin Toolbar. Citera
sandis84 Postad 29 Juli , 2008 Rapport Postad 29 Juli , 2008 Helt sant. Men det kan även min ISP DNS tekniker/nörd göra. Finns väl inget du är 100% säker över i dagens datasamhälle. Om sajten använder en bra certificate authority så har du ett mysigt skydd mot DNS-attacker. Detta skydd har inte pokerforum.nu, eftersom de som sköter sajten hatar säkerhet och trygghet. Citera
brainslicer Postad 2 Augusti , 2008 Författare Rapport Postad 2 Augusti , 2008 Man kan även fråga sig om uppdaten till java verkligen kom från Sun, Mac/iTunes osv patchen kom från Apple, osv.... Exploit code targets Mac OS X, iTunes, Java, Winzip... http://www.theregister.co.uk/2008/07/28/pwning_security_updates/ Nu varnar även Sitic för det nya verktyget: Ny verktygslåda utnyttjar osäkra uppdateringsmetoder http://www.sitic.se/publikationer/namnvart/ny-verktygslada-utnyttjar-osakra-uppdateringsmetoder Evilgrade är en ny verktygslåda, som utnyttjar osäkra uppdateringsmetoder implementerade i vissa applikationer. Verktygslådan kan användas tillsammans med olika MITM (man-in-the-middle)-tekniker för att skicka riggade uppdateringar till en användare och på så sätt ta kontroll över användarens dator. Det spelar ingen roll om datorn är uppdaterad med de senaste säkerhetsuppdateringarna, så länge som tillvägagångssättet för att installera uppdateringarna inte sker på ett säkert sätt och uppdateringarnas ursprung och riktighet inte verifieras. Hur går en attack till? Skaparen av Evilgrade, Francisco Amato har visat i en demonstrationsvideo hur verktyget kan användas för att ta kontroll över en användares dator, genom att utnyttja den senaste tidens uppmärksammade sårbarheter i DNS. Det finns flera tänkbara sätt för en angripare att placera sig mellan offret och en uppdateringsserver och det är viktigt att ha detta i åtanke. En angripare kan alltså använda verktyget om han sitter på samma nätverk som offret. Ett sådant nätverk kan till exempel vara ett publikt trådlöst nät. Det går även att utnyttja dessa sårbarheter om man som angripare lyckas få en dator att koppla upp sig på ett riggat trådlöst nät, genom att exempelvis utge sig för att vara datorns trådlösa hemma-router. Vilka program är sårbara? I skrivandets stund finns det funktionalitet i Evilgrade för att utnyttja uppdateringsrutinerna i följande applikationer: Java plugin Winzip Winamp MacOS OpenOffices iTunes Linkedin Toolbar DAP [Download Accelerator] notepad++ speedbit Det är troligt att det kommer att upptäckas säkerhetsbrister även i andra applikationers uppdateringsfunktioner och att fler moduler kommer att läggas till i Evilgrade. Hur skyddar jag mig? Innan dom sårbara applikationerna har åtgärdat bristerna i sina uppdateringsfunktioner, bör den automatiska uppdateringsfunktionaliteten i det sårbara programmet tillfälligt slås av. När sedan programvarutillverkaren har släppt en uppdatering som åtgärdar problemet, bör denna uppdatering laddas hem, verifieras och installeras manuellt. För mer information se Ryan Naraines post på zdnet: http://blogs.zdnet.com/security/?p=1576 2008-08-01 12:17 + att det nu tydligen används även okända exploits mot DNS servrar: http://www2.itworld.com/news/53948/hackers-start-dns-attacks-researcher-says Hackers are now actively exploiting a critical flaw in the Domain Name System, but they're not using any of the already known exploits, said a researcher who crafted the first attack code to go public. "We're seeing an entirely new technique," said HD Moore, the creator of the Metasploit penetration testing framework, who with a hacker identified as "I)ruid," published exploits last week for the vulnerability in the Internet's routing system. Citera
brainslicer Postad 6 Augusti , 2008 Författare Rapport Postad 6 Augusti , 2008 Patchade DNS-servrar fortfarande sårbara... http://endeavorsecurity.*************/2008/08/dns-patches-against-kaminskys-attack.html DNS patches against Kaminsky's attack are still vulnerable Kris Kaspersky, Endeavor Security, Inc. The latest security patches designed to prevent DNS spoofing, don’t work. Effective attacks against DNS are still possible. This document summarizes the DNS name server attack and the client's resolver (the stub),as related to: BIND9, PowerDNS, DJBDNS, MS XP/Server 2003/Server 2008. Brief Dan Kaminsky (The Director of Penetration Testing for IOActive) makes himself known by discovering well-known (and well-forgotten) DNS attacks. He has refused to reveal any technical information until the Black-Hat 2008 conference and has forced DNS vendors to invest in improved protection. Yet even though the ISP’s have done everything as instructed, the problem became worse. Kris Kaspersky has analyzed the patches and discovered that they're almost useless and do not fix the real attack vector. ... ... ... Samma hos sitichttp://www.sitic.se/publikationer/namnvart/patchade-dns-servrar-kan-fortfarande-vara-sarbara Patchade DNS-servrar kan fortfarande vara sårbara Säkerhetsforskaren Kris Kaspersky har skrivit ett blogginlägg om hur DNS-servrar som är patchade för att rätta den senaste tidens sårbarheter i DNS fortfarande kan utnyttjas. I inlägget skriver Kris Kaspersky bland annat att övriga tjänster som körs på en DNS-server, i kombination med hur algoritmen för att slumpa fram tal ser ut, kan medföra att att det fortfarande går att utnyttja en patchad server. Se inlägget i sin helhet här: http://endeavorsecurity.*************/2008/08/dns-patches-against-kaminskys-attack.html 2008-08-06 15:17 Uppenbarligen gillar inte pf.nu blogspot? Kopiera och ta bort mellanslaget mellen "blog spot" om ni vill läsa hela orginalartikeln. http://endeavorsecurity.blog spot.com/2008/08/dns-patches-against-kaminskys-attack.html Konstigt vad tyst det är om detta? Har jag helt fel om jag påstår att detta är ett av internethistoriens mest kritiska hot, nånsin...? Här har man chans att omdirigera klienter, mata in falska autoupdates, ställa sig MITM på nån osv...och det finns verktyg för scriptkiddies att åstadkomma detta... Citera
sandis84 Postad 6 Augusti , 2008 Rapport Postad 6 Augusti , 2008 Konstigt vad tyst det är om detta? Har jag helt fel om jag påstår att detta är ett av internethistoriens mest kritiska hot, nånsin...? Här har man chans att omdirigera klienter, mata in falska autoupdates, ställa sig MITM på nån osv...och det finns verktyg för scriptkiddies att åstadkomma detta... Ja, det är helt sjukt. Jag har ännu vänner vars ISPer ännu inte ens försökt applicera patcharna, trots att de fått ta emot flera mail med instruktioner och varningar. Citera
brainslicer Postad 6 Augusti , 2008 Författare Rapport Postad 6 Augusti , 2008 Ja, det är helt sjukt. Jag har ännu vänner vars ISPer ännu inte ens försökt applicera patcharna, trots att de fått ta emot flera mail med instruktioner och varningar. Kanske dom inte orkade om dom visste patcharna var verkningslösa Du såg meningen: "Yet even though the ISP’s have done everything as instructed, the problem became worse. Kris Kaspersky has analyzed the patches and discovered that they're almost useless and do not fix the real attack vector." ? btw: tidigare postade tester verkar inte vara nåt att lita på....om DNS-servrarna fortfarande är sårbara trots patchen. Citera
brainslicer Postad 11 September , 2008 Författare Rapport Postad 11 September , 2008 http://www.sitic.se/ Nytt test: .SE (Stiftelsen för Internetinfrastruktur) har lanserat en ny version av DNSCheck:http://dnscheck.iis.se/ För att ta reda på om en DNS-server är sårbar kan följande anvisningar användas: Viktigt att patcha DNS-servrar som fortfarande är sårbara Kaffe + lite att göra så vi testar några spelsajter => All tests are oksvenskaspel.se, http://dnscheck.iis.se/?time=1221118010&id=5582&view=basic sportingbet.com, http://dnscheck.iis.se/?time=1221118273&id=5594&view=basic paf.com, http://dnscheck.iis.se/?time=1221118354&id=5597&view=basic noiqpoker.com, http://dnscheck.iis.se/?time=1221118496&id=5602&view=basic atg.se, http://dnscheck.iis.se/?time=1221119111&id=5625&view=basic paradisepoker.com, http://dnscheck.iis.se/?time=1221120530&id=5656&view=basic betway.com, http://dnscheck.iis.se/?time=1221120786&id=5658&view=basic gnuf.com, http://dnscheck.iis.se/?time=1221121179&id=5667&view=basic redkings.com, http://dnscheck.iis.se/?time=1221124420&id=5717&view=basic pokerheaven.com, http://dnscheck.iis.se/?time=1221124620&id=5719&view=basic Warnings found in test Unibet.com, http://dnscheck.iis.se/?time=1221117740&id=5577&view=basic betsson.com, http://dnscheck.iis.se/?time=1221118073&id=5585&view=basic pokerroom.com, http://dnscheck.iis.se/?time=1221118427&id=5600&view=basic pacificpoker.com, http://dnscheck.iis.se/?time=1221118571&id=5603&view=basic eurobet.com, http://dnscheck.iis.se/?time=1221118653&id=5608&view=basic betsafe.com, http://dnscheck.iis.se/?time=1221120857&id=5660&view=basic cardozagames.com, http://dnscheck.iis.se/?time=1221121242&id=5670&view=basic ultimatebet.com, http://dnscheck.iis.se/?time=1221121443&id=5673&view=basic Errors found in test pokerstars.com, http://dnscheck.iis.se/?time=1221119410&id=5636&view=basic betfair.com, http://dnscheck.iis.se/?time=1221118171&id=5590&view=basic expekt.com, http://dnscheck.iis.se/?time=1221117890&id=5579&view=basic nordicbet.com, http://dnscheck.iis.se/?time=1221118739&id=5609&view=basic fulltiltpoker.com, http://dnscheck.iis.se/?time=1221118805&id=5610&view=basic 24hpoker.com, http://dnscheck.iis.se/?time=1221118854&id=5614&view=basic partypoker.com, http://dnscheck.iis.se/?time=1221119032&id=5619&view=basic bestpoker.com, http://dnscheck.iis.se/?time=1221120621&id=5657&view=basic everestpoker.com, http://dnscheck.iis.se/?time=1221120955&id=5663&view=basic mansion.com, http://dnscheck.iis.se/?time=1221121068&id=5665&view=basic titanpoker.com, http://dnscheck.iis.se/?time=1221121328&id=5672&view=basic ps poker.se och pokerforum.nu är ok så vi kan väl konstatera att svaret på rubriken är Ja edit: addade lite sajter Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.