ネットのドメインの85%は乗っ取り攻撃から逃れられない 65
ストーリー by kazekiri
DNSならではの脆弱性 部門より
DNSならではの脆弱性 部門より
oddmake曰く、"BBC記事より。コーネル大学計算機学科のEmin Gun Sirer教授らの研究チームは、インターネット上のドメインが名前解決に依存するDNSサーバの数やその脆弱性に対して大規模な調査を行い、実に85%ものドメインが乗っ取りに対して脆弱であることがわかったと発表した(PDFの論文)。 平均的なドメインはルートサーバを除いて約46ものDNSサーバに名前解決を依存しており、そのうち17%ものDNSサーバに良く知られた脆弱性があり、セキュアなDNSサーバにDDoS攻撃を仕掛ける一方で脆弱なDNSサーバを攻撃するという手法によりほとんどのドメインは乗っ取られてしまうということだ。 調査の結果から判明した脆弱なドメイン名Top500には、www.openbsd.org、www.openssh.com、www.daemonnews.org、www.emacswiki.orgといったドメイン名もあがっている。"
ドメイン廃止案 (スコア:2)
Re:ドメイン廃止案 (スコア:0)
# バーチャルホスト、バーチャルドメインのwebやmailは何処に行けばいいの?
Re:ドメイン廃止案 (スコア:0)
勝手にルーティングテーブル書き換えられたり
IPアドレスでも同様の現象になりませんか?
Re:ドメイン廃止案 (スコア:1)
ルーティングテーブルをStaticで書き換えたところで、Unreachableになるだけかと思います。
それともBGPのフラッピング狙いですかね。それなら少しは混乱を招くことも可能かもしれないです。
もしやNAT+Staticですか?
それならルータにサーバを直付けしてどうやらこうやらすれば何とかなるかも知れません。
#明日は出社なのでID
Re:ドメイン廃止案 (スコア:0)
ルータ乗っ取ってテーブル書き換えるのとDNS改ざんとどっちが楽だろう
jpドメインは一つもない (スコア:1)
#書いてて恥ずかしかったので『おもしろおかしく』AC
#ひそかに自分の管理しているドメインも探していたのでAC
Re:jpドメインは一つもない (スコア:3, 参考になる)
JPRSがDNSサーバの危険な設定を削除開始 [jprs.co.jp]
しかしながら、国内ISPのDNSサーバの中にですら
第三者に対してキャッシュサーバとして機能してしまうものがあるのも現実です。
Re:jpドメインは一つもない (スコア:1, 興味深い)
最初に、TLD、ccTLDが使っているRootDNSにどのぐらい依存しているか調べて、そのあとユーザ側が登録しているDNS名に対してさらに、どんなドメインDNSが関係しているのか調べていくみたいですけど、自分のドメイン幾つかでやったらきちんとDNSがチェックされていない気がするのですが…。
結局依存するDNS数を減らすには、似たドメイン(.NETなら.NET)だけで運営することはいいことなんだみたいな結果が出るのもどうかと…。
DNS乗っ取り論は・・・ (スコア:1, 参考になる)
たとえ接続を意図する[URI|URL]が正しく入力されていたとしても「DNSが返答するアドレスが偽者だったら、[閲覧|利用]者の意図しない偽サイトへ誘導されてしまう。」ということですね。
サイトの規模が大きくなればなるほど、「分散処理をさせるのに空いている機械のアドレスをDNSが返答して誘導する芸当」とかが一つの選択肢でしょうから・・・
DNSが返答するアドレスのリストに1つや2つ偽アドレスが混じっていた場合で偽装サイトに誘導されてしまったら、一目で本物か偽者か判断するのが難しでしょうし、サポートも指摘された事件に気が付かない状況もありうるように感じています。
何かしょうめいする代物をつけるとしても「電子署名みたいに信頼できるのは(本物の本人からの)手渡しのみ」だったりして・・・
私が思うところでは、汎用性を持たせる必要のあるWebブラウザをベースに考えた時点で、アドレスを自動的に検証するなんて芸当は難しいように思えます。
/* ネットも安全に使うには防犯と一緒で「みんながインチキしない」ってことなのかな。 */
大槻昌弥(♀) http://www.ne.jp/asahi/pursuits/ootsuki/
Re:DNS乗っ取り論は・・・ (スコア:0)
今回の脆弱性の話とはちょっとおふとぴ
Re:DNS乗っ取り論は・・・ (スコア:0)
まあ、「ハァ?」なんて幼稚な書き方をしてしまう時点で、視野の狭い人なんだろうなあ。
Re:DNS乗っ取り論は・・・ (スコア:0)
せめてシロウト向けのSSLのしくみ [verisign.co.jp]でも出すべきでしょう。
もちろん、これだけでは『充分な説明』とは言えませんがね。
Re:DNS乗っ取り論は・・・ (スコア:0)
この手のクラッキング方面の話題には必ず居丈高なワナビーちゃんが湧いて出るものです。
高圧的な物言いで「それは違う」と言うだけで、正しい事は何かは言うに及ばず、
そのどこが間違っているかという指摘さえ具体的にはできません。
俺はすごいハッカーだから教えてやるけど、
と思っているんでしょうけど、はたから見ればばればれです。
まあこういう輩はものすごくわかりやすく判別しやすいし、
不快な言い方をする以外は無害ですし、
技術力もたかが知れてますからその点でも無害ですし、
放っておくのがいいんじゃないですかね。
# あたしゃ面白いからたまにいじって遊ぶけどw
# いや、こっちじゃなくて2chとかでね
DNSハイジャックといえば (スコア:1, 参考になる)
スラドのトピだれか貼ってちょうだい。
100% (スコア:0)
検閲してるんでしょ。
Re:100% (スコア:0)
(使ってる技術は基本的にThe Internetと同一らしい。)
「紺屋の白袴」 (スコア:0)
大学側の設定強化を強く望む
#妄想の戯言なのでAC
SSLがあれば万全 (スコア:0)
だって、SSLがあるもん。
Re:SSLがあれば万全 (スコア:3, すばらしい洞察)
DNSポイゾニングされて、サイトの利用者がブラウザの警告を無視して他のサーバに個人情報を送信したとき、責任の所在はどこにあると世間ではみなされるのでしょうね。
Re:SSLがあれば万全 (スコア:0)
他に管理者がいるのであれば、バカには管理者権限を与えないことで何とかなるかもしれませんが、バカが自分のアカウント上に持っている情報の流出は防ぎようがありませんね。
Re:SSLがあれば万全 (スコア:1)
もとのレスは行政機関のオレオレ認証が、こういう自体をまねきかねないことを批判しているのでは?
社会なんて、所詮相互の共通認識と自制でしか成り立っていないので、それらを形成しやすい環境を作るのが国の役目。行政機関のオレオレ認証はその共通認識を狭めることにしか役立っていないのが問題。
Re:SSLがあれば万全 (スコア:1)
今現在の行政の業務のかなりはインターネットで済むことばかり。それをIT化するかしないかは社会的コストに跳ね返ってくる。社会的コストは産業競争力に関係する(しかも日本はこれが結構大きい)ので、低いことに越したことはない。
SSL必要な行政サイトの利用が低いという事は、行政のIT化が進んでいない証拠。それはそれで悲しい事。でも行政サイトがトンチキだと、利用率が上がるのも、情報リテラシイを下げることになりかねないので、悲しいこと。
こんなジレンマになる事態をまねかないよう、行政サイトはちゃんとしていてほしいもんです。
せ、世間では? (スコア:0)
何ゆえ不要であろう「世間では」という語句を付けるのか?
純粋に「責任の所在はどこにある」のか考えるだけじゃご不満?
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:3, 参考になる)
IPアドレス直書きは、問題がDNSの乗っ取りだけだとはっきり分かっているなら 効果があります。しかし現実には、何が脅威なのか不明な場合がほとんどであり、 たとえDNS 乗っ取りが起きていることは分かっていても、他の脅威の危険もある わけですから、推奨できない回避策でしょう。
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:1)
1、ブラウザに登録されているCAって、全て抜かりなく登録時の確認は完璧なのだろうか?
他人のドメインの証明書取れれば、鍵マークをクリックして確認しない限りドメインを乗っ取られた側もユーザーも気付かない気がする。
2、気に入りに登録しているトップページとかが非SSLのページだと、ロケーションで微妙に違う乗っ取る奴のサイトに飛ばせるよね。
その移動先のサイトの証明書を持っていればほとんど気付かないのでは?
3、ブラウザの穴を突いて、アドレス欄に違うサイト表示出来る問題とかあったよね。
2と合わせて使われれば、SSLで防げると考えるのは過信の様な気がする。
4、定期的にブラウザに怪しいCAが追加されていないかチェックしている人って多いの?
ウイルスに感染してwinnyとかに晒す奴がいるところを見ると、追加されている可能性もあるのでは?
毎度、鍵をクリックしてデータを見ていれば、CAとかが変わったのに気がつくだろうけど、そうじゃなければSSLで完全に防げるとは思えない。
Re:SSLがあれば万全 (スコア:1)
ルータ乗っ取りや盗聴には無力ですね.
Re:SSLがあれば万全 (スコア:0)
いいえ。せいぜい本物サイトとの通信を不可能にするDoSが可能なだけです。
ただし端末上で信頼できないプログラムは動かしていないのが前提です。もっと詳しくは
のような状況。
リンク先にも書かれているとおり、SSLに関する議論をするときにはふつうの想定です。
Re:SSLがあれば万全 (スコア:1, 参考になる)
> http://www.oiwa.jp/~yutaka/tdiary/20050709.html#p02 [www.oiwa.jp]
> のような状況。
と書いたつもりでした。
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:0)
『DNSの改竄』にたいしてなら解決になるんじゃないの?
ルータ乗っ取りとか、盗聴とかは、DNS改竄とは別問題ですよね?
SSLならあらゆる問題が解決する訳でもないし。
Re:SSLがあれば万全 (スコア:1, すばらしい洞察)
Re:SSLがあれば万全 (スコア:0)
Re:SSLがあれば万全 (スコア:0)
個人的に審査が甘そうなCAはブラウザの証明書ストアから外してます。
bindの場合 (スコア:0)
気がするのですが・・個人的には
allow-recursion
allow-query
allow-transfer
辺りで範囲を特定しておくと言うのは行っているのですが、
攻撃から防ぐ為に具体的にどう対処するのが良いのでしょう?
#DNSを使わない運用とか言うのは無しで。
Re:bindの場合 (スコア:0)
>allow-query
>allow-transfer
DNSがUDPを使っている限り、これだけでは完全には
防ぐことができません。
recursion用のDNSサーバをFirewallやNATの内側に入れれば
大分マシになりますが、100%完全ではありません。
グローバルなIPを持つDNSサーバはコンテンツサーバのみに
しておき、分けて使いましょう。
ヘタレの疑問 (スコア:0)
> 約46ものDNSサーバに名前解決を依存しており
マジスカ。セカンダリ数えてもそんなに依存してるかなー?
Re:ヘタレの疑問 (スコア:1)
# 論文は読んでないけどセカンダリなら「そのうち17%」は同一組織なのに管理に差があるのは変。
Re:ヘタレの疑問 (スコア:0)
Re:ヘタレの疑問 (スコア:1)
ctrl+fで (スコア:0)
# なかったけどAC
Re:ctrl+fで (スコア:0)
whoisを使って (スコア:0)
Re:whoisを使って (スコア:1, すばらしい洞察)
そこで 正しいwhoisサーバに接続して結果が得られている、
という保証はどこにあるのでしょうか?
Re:whoisを使って (スコア:2, おもしろおかしい)
N=偽物のwhoisサーバに繋がることにもなりますが、
S=そこで 正しいwhoisサーバに接続して結果が得られている、という保証はどこにあるのでしょうか?
ってことか。
Re:whoisを使って (スコア:0)
Theoタン、出番ですよ (スコア:0)
Re:Theoタン、出番ですよ (スコア:4, 興味深い)
つーか、冗長性を確保するために NS をたくさん用意すると、
再帰検索するのに問い合わせる可能性のある DNS サーバがふえるのは自明だわな。
特にヨーロッパ方面では NS が複数の ccTLD にまたがってるドメインが多いから、
名前解決するのにあっちこっちの DNS が関係してくる。openbsd.org はまさにそれで、
NS のひとつが .se であるために多数の DNS が関係することになってる。
関係する DNS が増えればそのうちのいくつかに管理の甘いサーバが出てくるのは、
まあ、あたりまえでしかたのないことだ。
そもそも関係するホストが少なければ安全かというと必ずしもそうともいえない。
たとえば、.jp の DNS はすべて .jp に閉じていて、いくつもの DNS に頼らずに
名前解決できるように考えて作られている。でも、すべての *.dns.jp が
同じバージョンの BIND で動いているので、もし万が一 BIND 9.3.2 に
パケットひとつで攻略できるような未知の穴があって、それをゼロデイアタックで狙われると
.jp は全滅するということは覚えておいた方がいいと思う。
古典として (スコア:0)
もっといや、正しく設定管理されているDNSサーバだって、まだまだ未知の脆弱性を抱えている事も事実だろう。
所詮完全な安全なんて夢物語なんよ。だから、管理者は日夜戦ってる訳なんよ。変に現時点での研究結果を見て、安全だって慢心する方が危険だと思うんだな。