1. Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!
    Verberg deze melding

DNS setup probleempje bij Ziggo

Discussie in 'Internet - Algemeen' gestart door meesdroo, 3 jul 2009.

Niet open voor verdere reacties.
  1. Recentelijk onderzoek naar de risico's die Ziggo DNS-servers liepen om gespoofed te worden (of beter gezegd die gebruikers van die DNS-servers liepen om gespoofed te worden), geeft enige aanleiding tot vragen.

    Onderzocht werden (o.a.) de servers:
    213.132.189.250
    213.73.255.52

    Deze bleken voor hun dns-resolving volledig terug te vallen op de onderstaande "backend" servers.
    213.132.189.252
    213.73.255.57
    213.73.255.100

    Van deze servers zijn:
    213.132.189.252
    213.73.255.100
    zowel kwa source port distributie, als kwa transaction ID distributie volledig random (bravo! :applause:).

    Helaas bleek van:
    213.73.255.57
    de source port distributie in het geheel NIET random (fixed zelfs :no:).

    Zou iemand die "backend" server (en eventuele broertjes; ik zie ze ook maar bij toeval) even kunnen nalopen en up to date brengen naar de laatste veiligheids-eisen :?:

    Bij voorbaat dank,

    Mees de Roo

    P.S. En laat niemand me in :censored: naam vertellen dat ik daarvoor bij de helpdesk zijn moet! :schater::schater::schater:
     
    Laatst bewerkt door een moderator: 4 jul 2009
  2. Gefixt!

    We hebben de ontwikkelingen rond de DNS-bug van meneer Kaminsky vorig jaar natuurlijk goed in de gaten gehouden en zo snel mogelijk alle DNS servers gepatcht! Door een regressie draaide deze ene server onlangs toch een oude versie van de software. We hebben het nu gefixt. Hartelijk dank voor de melding, Mees!

    Jacco (not an official Ziggo spokesperson enz. enz.)
     
  3. Misschien een rare vraag, maar ben op dit 'diepere' vlak niet zo bekend. Wat zijn òf zouden de gevolgen voor gebruikers dan zijn? In hoeverre zou dit merkbaar zijn voor de gebruiker?
    Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; nl-nl) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
     
  4. Het komt er op neer dat wanneer een nameserver niet voldoet aan de eis dat source port én transaction-id volledig random zijn het mogelijk is om het aldus sterk beperkte aantal keuze-mogelijkheden te gebruiken voor een succesvolle spoofing aanval.

    Daarbij lukt het om 'verkeerde' DNS adressen aan (resolving) nameservers te presenteren, waardoor de niets-vermoedende gebruiker (hij doet inderdaad helemaal niets verkeerd, deze keer, en merkt dus ook niets) in plaats van bij zijn bank, ergens in rusland uitkomt.

    Ontdekking van deze bug, kostte destijds aardig wat (nachtelijk) overwerk om dns-servers over de hele wereld (er zijn er geschat 11,900,000) binnen een maand gepatched te krijgen.

    Er zijn er trouwens die nog steeds niet gepatched zijn. Onderzoek b.v.:
    lime.qinip.net en lemon.qinip.net
    maar eens.

    Bij Ziggo heb ik afgezien van het eerder genoemde slippertje, verder niets gevonden.

    Mees de Roo
     
  5. Dank je wel voor de uitleg Mees.
    Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; nl-nl) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
     
  6. Aan de andere kant zijn er ook gebruikers die door middel van spoofing op bepaalde paysites kijken (meestal p0rno). De site die je opent "denkt" dan dat je van een eerdere pagina komt waar je normaal gesproken betaald had.
     
  7. Ja, maar dat is "Referrer Spoofing" (en is heel eenvoudig te doen met registry patches en/of browser plugins) en de bug die Dan Kaminsky vond heeft te maken met "DNS Spoofing" (en is in de praktijk alleen uit te voeren met behulp van een bot-net).

    Mees de Roo
     
Niet open voor verdere reacties.

Deel Deze Pagina