Dan Kaminsky's DNS Discovery: The Global DNS Issue and the Massive, Multi-Vendor Fix Thursday, July 24 1:00 pm PST/4:00 pm ET . FREE

j'ai assisté au webcast... ça va mal: METASPLOIT a publié le code d'attaque depuis quelques heures; voici le résumé du webcast:

DAN Kaminsky webcast

voici les statistiques issues de notre "DNS check"

8-12 juillet 86% des sites testés étaient vulnerables

22-24 juillet 52% vulnerables étaient vulnérables

c'ets mieux mais c'est loin d'être idéal...

13 jours de retenue de la part des hackers avant de publier l'exploit c'est mieux que zero jours...

une attitude répandue chez les informaticiens; "je ne vais pas patcher si je ne sais pas pourquoi...je

voudrais connaître l'exploit"

l'attaque est vraiment puissante: contrairement à l'attaque "anniversaire" où il faut deviner le bon

identifiant et port source, dans cette attaque il n'y a aucune part de hasard, et elle prend quelques

secondes...

le code est aujourd'hui dans METASPLOIT; j'ai fait ce que j'ai pu....

merci à toute la profession de son engagement peu importe qui a "cafté"...

Jerri DIXON DHS

c'est un problème à long terme qui montre la fragilité d'internet mais aussi comment s'organiser pour y

remédier

Dan Kaminsky

PATCHEZ ! PATCHEZ ! PATCHEZ !

Rich MOGUL SECUROSIS

que faut-il faire au niveau de l'entreprise ?

- patcher les OS clients et serveurs

- si vous ne pouvez pas patcher, forwarder vers un nouveau système de DNS patché ou bien vers OpenDNS

- verifier que tous les systèmes de patches automatiques sont activés

c'est une opportunité pour les équpes informatiques de faire une sensibilisation sur la sécurité au DSI

et aux managers

Joao DAMAS ISC

une attaque connue mais avec un nouveau facteur clef: le fait de faire des requêtes vers un domaine

connu mais avec des noms de machines inexistants jusque trouver une correspondance et utiliser un RR

pour prendre le pas sur le vrai DNS et ainsi empoisonner le cache

PATCHEZ !

Mettre la pression sur le déploiement de DNSSEC

Jeff MOSS - Black Hat

lors de la sortie de DNSSEC il y a 10 ans tout le monde à dit "super", et 10 ans après, presque

personne ne l'a implémenté à part quelques sites aux USA et en Hollande...

Joao DAMAS

justement cet incident nous donne de la pression pour l'adoption de DNSSEC comme le font quelques pays

en plus de l'armée américaine

DAKAMI

Nous sommes pragmatiques: si on avait dit "depoyez DNSSEC et vous serez tranquilles" on aurait eu un

accueil très froid de la communauté; pour cela on a passé plusieurs mois à travailler sur les patches

en se disant que cela correspodait à la base installée

Mauro Israel

Quel est le potentiel de l'exploit après le patch ?

DAKAMI

- on a augmenté le nombre de paquets necessaires de quelques millions à quelques milliards, on est

alors passés de 10 secondes à plusieurs heures pour executer l'exploit, mais ce n'est pas l'infini...

Pourquoi ne pas passer en TCP au lieu de UDP pour le protocole DNS ?

- pour des raisons de performance: TCP utilise beaucoup plus de bande passante et internet n'a pas la

capacité de supporter un tel trafic en son coeur

Pourquoi patcher les clients aussi ?

- toute l'attention est sur les serveurs, mais les clients "resolvers" ont aussi besoin de "randomiser"

mais c'est moins urgent

est-ce que les IDS-IPS sont à jour et peuvent détecter l'attaque ?

- oui dans les jours qui viennent la plupart des fournisseurs vont implementer ce type d'attaque ce qui

consiste à trouver une requête très clairement erronée: des noms de serveurs qui varient numériquement

avec le même domaine dans un temps donné

le split - DNS avec le firewall résout-il le problème sans patcher ?

- si vous essayez depuis votre machine d'entreprise www.yahoo.fr et que le DNS qui répond n'est pas

patché vous risquez également l'exploit... voulez-vous prendre ce risque ?

et si on mettait un TTL d'un an ou plus ?

- ça ne marchera pas: les hackers vont inventer des faux noms auxquels on n'avait pas pensé autres que

"1", "2", "3" etc... et le problème sera le même

est-ce que j'ai dormi beaucoup depuis la publication de cette faille ?

- non pas beaucoup...

pourquoi "10 secondes" est le chiffre magique ?

- c'est le temps qu'il faut pour executer l'exploit avec un simple PC connecté en ADSL

est-ce que vous allez contacter les grands ISP qui restent vulnérables ?

- c'est à chacun d'être responsable et de patcher

Merci à tous d'avoir assisté à ce Webcast

Propos recueillis et traduits par Mauro Israel