Dan Kaminsky

Dan Kaminsky le découvreur de la faille DNS commente les résultats après quelques jours :

voici les statistiques issues de notre "DNS check"
période du 8-12 juillet : 86% des sites testés étaient vulnérables
période du 22-24 juillet : 52% des sites étaient vulnérables

c’est mieux, mais c’est loin d’être idéal... 13 jours de retenue de la part des hackers avant de publier l’exploit c’est mieux que les zéro jours habituels ...

Beaucoup n’ont pas encore patché, une attitude répandue chez les informaticiens ; "je ne vais pas patcher si je ne sais pas pourquoi...je voudrais connaître l’exploit"

Et bien, l’attaque est vraiment puissante, contrairement à l’attaque "anniversaire" où il faut deviner le bon identifiant et port source, dans cette attaque il n’y a aucune part de hasard, et elle ne prend que 10 secondes...

Le code a été publié aujourd’hui dans METASPLOIT ; j’ai fait ce que j’ai pu...merci à toute la profession de son engagement peu importe qui a "cafté"...

Jerri Dixon DHS : c’est un problème à long terme qui montre la fragilité d’internet, mais aussi comment s’organiser pour y remédier.

Dan Kaminsky : PATCHEZ ! PATCHEZ ! PATCHEZ !

Rich Mogul, Securosis : Que faut-il faire au niveau de l’entreprise ?
– patchez les OS clients et serveurs
– si vous ne pouvez pas patcher votre DNS actuel, installez un nouveau système de DNS patché ou bien migrez vers OpenDNS
– vérifiez que tous les systèmes de patches automatiques sont activés

C’est une opportunité pour les équipes informatiques de faire une sensibilisation sur la sécurité au DSI et aux managers.

Joao Damas, ISC : C’est parti d’une attaque connue mais avec l’innovation d’un nouveau facteur clef : le fait de faire des requêtes vers un domaine connu mais avec des noms de machines inexistants jusqu’à trouver une correspondance et utiliser un RR pour prendre le pas sur le vrai DNS et ainsi empoisonner le cache

PATCHEZ ! Cela va également mettre la pression sur le déploiement de DNSSEC qui est, lui, par conception sécurisée.

Jeff Moss

Jeff Moss, Black Hat : Lors de la sortie de DNSSEC il y a 10 ans tout le monde à dit "super", et 10 ans après, presque personne ne l’a implémenté à part quelques sites aux USA et en Hollande...

Joao Damas : Justement cet incident nous donne de la pression pour l’adoption de DNSSEC comme l’ont fait quelques pays (il cite entre autres le Brésil) en plus de l’armée américaine…

Dan Kaminsky : Nous sommes pragmatiques : si on avait dit "déployez DNSSEC et vous serez tranquilles" on aurait eu un accueil très mitigé de la communauté. Au lieu de cela on a passé plusieurs mois à travailler sur les patches en se disant que cela correspondrait à la base installée…

Questions du webcast :

Mauro Israël

Mauro Israël, GS Mag :
Quel est le potentiel de l’exploit après le patch ?

Dan Kaminsky : On a augmenté le nombre de paquets nécessaires de quelques millions à quelques milliards, on est alors passés de 10 secondes à plusieurs heures pour exécuter l’exploit, mais ce n’est pas l’infini...

Pourquoi ne pas passer en TCP au lieu de UDP pour le protocole DNS ?
– Pour des raisons de performance : TCP utilise beaucoup plus de bande passante et internet n’a pas la capacité de supporter un tel trafic en son coeur

Pourquoi patcher les clients aussi ? :
– Toute l’attention est sur les serveurs, mais les clients "resolvers" ont aussi besoin de "randomiser", mais c’est moins urgent

Est-ce que les IDS-IPS sont à jour et peuvent détecter l’attaque ?
– oui dans les jours qui viennent la plupart des fournisseurs vont implémenter ce type d’attaque ce qui consiste à trouver une requête très clairement erronée : des noms de serveurs qui varient numériquement avec le même domaine dans un temps donné

Le split - DNS avec le firewall résout-il le problème sans patcher ?
– si vous essayez depuis votre machine d’entreprise www.yahoo.com et que le DNS qui répond n’est pas patché vous risquez également l’exploit... voulez-vous prendre ce risque ?

Et si on mettait un TTL d’un an ou plus ?
– ça ne marchera pas : les hackers vont inventer des faux noms auxquels on n’avait pas pensé autres que "1", "2", "3" etc... et le problème sera le même

Est-ce que vous avez dormi beaucoup depuis la publication de cette faille ?
– non pas beaucoup...

Pourquoi "10 secondes" est le chiffre magique ?
– c’est le temps qu’il faut pour exécuter l’exploit avec un simple PC connecté en ADSL

Est-ce que vous allez contacter les grands ISP qui restent vulnérables ?
– c’est à chacun d’être responsable et de patcher

Merci à tous d’avoir assisté à ce Webcast…

source du webcast :

http://w.on24.com/r.htm?e=114268&s=1&k=638307695FF31ED953EF9EC0DF969C02

Propos recueillis et traduits par Mauro Israël pour Global Security Mag