Falla nei server DNS. Ne sapete nulla?

[badìl]

Ma quindi aggiornando siamo al sicuro?

Io ora ho messo gli Open su tutti i PC, però mi ricordo un topic in cui si era messa in discussione l'affidabilità di questi DNS.
Voi cosa dite, per effettuare pagamenti, entrare nei siti delle banche, etc. meglio gli open o i DNS Telecom?  ::) Non so più cosa pensare...

[Spinus]

Sì, se hai aggiornato i pc e usi un DNS server che è stato aggiornato ed è immune (come, appunto, OpenDNS) sei a posto!

Ci può essere una situazione in cui si deve anche aggiornare eventuali ruoter: se, ad esempio, si utilizza un router che fa anche da DNS cache bisogna aggiornare anche quest'ultimo; non basta impostare gli open DNS sul router, perché quest'ultimo potrebbe essere attaccato (ma credo sia poco probabile che qualcuno tenti di attaccare un router domestico)!

P.S. Naturalmente ora che la notizia si è diffusa si staranno già preparando worm/trojan  per sfruttare questa debolezza dei DNS!

[piero_tasso]

[...]
Ci può essere una situazione in cui si deve anche aggiornare eventuali ruoter: se, ad esempio, si utilizza un router che fa anche da DNS cache bisogna aggiornare anche quest'ultimo; non basta impostare gli open DNS sul router, perché quest'ultimo potrebbe essere attaccato (ma credo sia poco probabile che qualcuno tenti di attaccare un router domestico)!
[...]

non vorrei fare il pessimista, ma mi sa che i router domestici son proprio quelli che non verranno aggiornati, sia perché manca un sistema di distribuzione degli aggiornamenti efficace, sia perché i produttori non rilasceranno i nuovi firmware (salvo forse per gli ultimi modelli)

[Spinus]

La tua previsione credo si rivelerà corretta, più che altro perché pochi utenti domestici sanno effettivamente cosa faccia un router e come aggiornarlo (il produttore del  mio router -pagato 30 €- rilascia aggiornamenti ogni 3-4 mesi...).

Comunque una semplice soluzione è quella di non utilizzare il router come cache DNS...alla fine se si ha una piccola rete domestica il traffico DNS è comunque limitato :P

[No Concept]

Comunque una semplice soluzione è quella di non utilizzare il router come cache DNS...alla fine se si ha una piccola rete domestica il traffico DNS è comunque limitato :P

Come faccio a sapere se il mio router usa la cache DNS?

[simo_magic]

Comunque una semplice soluzione è quella di non utilizzare il router come cache DNS...alla fine se si ha una piccola rete domestica il traffico DNS è comunque limitato :P

Come faccio a sapere se il mio router usa la cache DNS?

tu non inserire il router come dns primario nel pc e metti direttamente il dns da te scelto(in pratica non 192.168.1.1 come dns ma dritto dritto l'ip pubblico del dns che usi)

[maveloth]

La tua previsione credo si rivelerà corretta, più che altro perché pochi utenti domestici sanno effettivamente cosa faccia un router e come aggiornarlo (il produttore del  mio router -pagato 30 €- rilascia aggiornamenti ogni 3-4 mesi...).

scusa ma allora io ho aggiornato il firmware del mio router, ed ora sul blog di Dan Kaminsky mi dice che i miei dns potrebbero essere sicuri, sto tranquillo, o è meglio se imposto anche gli open dns?(lo chiedo perchè il firmware che ho aggiornato risale ad aprile '08 e quindi non so se questa falla è risolta.)

Maveloth


P.S. prima di aggiornare il router dallo script del blog ottenevo un risultato negativo.

[No Concept]

Comunque una semplice soluzione è quella di non utilizzare il router come cache DNS...alla fine se si ha una piccola rete domestica il traffico DNS è comunque limitato :P

Come faccio a sapere se il mio router usa la cache DNS?

tu non inserire il router come dns primario nel pc e metti direttamente il dns da te scelto(in pratica non 192.168.1.1 come dns ma dritto dritto l'ip pubblico del dns che usi)

ma non devo inserire i dns nel router allora?

[simo_magic]

non hai capito

mettiamo caso questa situazione:

root dns---dns provider(con impostato l'ip di un root dns)---router(con dentro l'ip di un dns provider)---pc(con dentro l'ip del router)

ognuno dentro ha dei dns impostati
se non ha nella propria cache interna la risoluzione si passa a chiedere al computer più a sinistra di risolvere il nome
se uno solo dei dns è vulnerabile allora tutta la catena(dall'anello vulnerabile verso destra) crolla e si possono sfruttare bachi di sicurezza

se tu dentro al pc imposti direttamente l'ip del provider salti a piè pari il router, eliminando l'anello più debole della catena

[No Concept]

non hai capito

mettiamo caso questa situazione:

root dns---dns provider(con impostato l'ip di un root dns)---router(con dentro l'ip di un dns provider)---pc(con dentro l'ip del router)

ognuno dentro ha dei dns impostati
se non ha nella propria cache interna la risoluzione si passa a chiedere al computer più a sinistra di risolvere il nome
se uno solo dei dns è vulnerabile allora tutta la catena(dall'anello vulnerabile verso destra) crolla e si possono sfruttare bachi di sicurezza

se tu dentro al pc imposti direttamente l'ip del provider salti a piè pari il router, eliminando l'anello più debole della catena

capito...scusa la fatica ma sono alle prime armi per quanto riguarda le reti di calcolatori...

[maveloth]

indi per cui per maggior sicurezza impostare direttamente opendns senza pensare ai router????

mi spiego:  la soluzione a questo problema non si ottiene semplicemente aggiornando il firmware(cosa che male non gli fa di sicuro e questo è certo).

Maveloth

[tonyc]

da quello che ho capito in tutta questa storia, da profano delle reti
sostituendo i dns con openDns si risolve il problema, evitando di aggiornare il firmware del router che probabilente persone alle prime armi come me, hanno qualche difficoltà reperire e caricare......
inserendo openDns direttamente nel PC ci si dovrebbe proteggere a sufficenza.... o sbaglio?

[simo_magic]

da quello che ho capito in tutta questa storia, da profano delle reti
sostituendo i dns con openDns si risolve il problema, evitando di aggiornare il firmware del router che probabilente persone alle prime armi come me, hanno qualche difficoltà reperire e caricare......
inserendo openDns direttamente nel PC ci si dovrebbe proteggere a sufficenza.... o sbaglio?

detto stringendo molto sì è così

[maveloth]

Grazie dei chiarimenti simo_magic allora mi vado a settare opendns ! tanto il router è aggiornato

Maveloth (b2b)

[badìl]

Ringrazio anch'io simo_magic per la spiegazione.  (good)

Credo che mi convenga comunque aggiornare il router (ho controllato il firmware, risale al 2006  ). L'ultimo disponibile è maggio 2008, comunque non è proprio una passeggiata andarli a pescare!  ::)

[simag]

chiedo scusa, ho fatto ora il test e mi da:

Your name server, at Sat Jul 12 15:07:36 2008, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.

La prima parte ok...
ma la seconda?
cosa comporta?
grazie in anticipo.
ciao
k

ps se servono info sulla configurazione di rete chiedete pure

[badìl]

chiedo scusa, ho fatto ora il test e mi da:

Your name server, at Sat Jul 12 15:07:36 2008, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.

La prima parte ok...
ma la seconda?
cosa comporta?
grazie in anticipo.
ciao
k

ps se servono info sulla configurazione di rete chiedete pure

Ora ho questo risultato anch'io. Invece ieri mi dava solo "appers to be safe" e non ho cambiato niente....

[jack84]

Da cosa derivate il fatto che openDNS è più sicuro? Cioè al di la del fatto che non soffre di questo bug (può essere, non lo so) cosa impedisce ad esempio che quando scrivo una url sul browser mi viene in realtà restituito un altro sito costruito appositamente per truffarmi (phishing)?  Mi risponderete e cosa ti garantisce che non succeda con il servizio dns fornito dal provider? Nulla però mentre con il provider si viene a sapere di chi è la responsabilità e diventa un grave danno di immagine per l'azienda qui che ne sò di chi è la responsabilità?
La mia è semplice curiosità non stò dicendo che openDNS non va vorrei solo capire.

[Spinus]

Beh, direi che è un dubbio legittimo, ma vista la quantità di utenti che utilizzano openDNS, credo siano già controllati da un buon numero di persone Inoltre ci sono numerose aziende che li utilizzano a pagamento (per avere anche altri servizi) e, credo, che pretendano delle garanzie certe sulla qualità del servizio!

[simag]

Ora ho questo risultato anch'io. Invece ieri mi dava solo "appers to be safe" e non ho cambiato niente....

se non altro mi consolo... dato che senza cambiare niente è cambiato anche a te

va beh vediamo se qualcuno sa qualcosa...

ps poi sotto ci sono elencate le porte...

ciao
k