Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Friday 11 July 2008
7 comment(s) | Subnetwork France

Hors-norme, elle l'est réellement, cette vulnérabilité. D'abord par sa portée : la quasi-totalité des serveurs DNS du marché sont concernés dès lors qu'ils émettent une requête dite "récursive" (ils interrogent un autre serveur DNS car ils ne connaissent pas directement la réponse à la question qui leur a été posée). Une mention spéciale toutefois à djbdns, qui n'est pas vulnérable.

Ensuite par ce qu'elle offre à l'attaquant en cas d'exploitation réussie : le phishing ultime, tout simplement. L'assurance de voir des myriades d'utilisateurs se précipiter en toute bonne foi vers des sites malveillants. Et surtout sans aucun moyen de s'en rendre compte. Seuls les sites dotés d'un certificat SSL et contactés via HTTPS peuvent prétendre y échapper. Mais encore faudrait-il que leurs utilisateurs comprennent ce que signifie l'alerte d'un certificat non conforme...

Aussi parce que, d'après Dan Kaminsky, la nouveauté réside dans la méthode : elle offrirait un moyen rapide et quasi-assuré de réussir ce type d'attaque, ce qui était encore loin d'être le cas jusqu'à présent.

Enfin par la façon dont elle a été traitée. L'ampleur réelle de ce "G8 secret" de la sécurité chez Microsoft en mars dernier fait certes encore débat, mais ce qui est certain c'est qu'il y a bien eu une diffusion concertée de correctifs multi-vendeurs pour adresser la même vulnérabilité. Ce n'est pas courant.

On peut espérer que tout ce brouhaha médiatique, au delà du plaisir mesquin de voir la presse généraliste essayer d'expliquer le concept du cache poisonning à des lecteurs surtout déprimés par la météo des plages, ce brouhaha donc, remettra le DNS au centre des débats sécuritaires. C'est que le DNS, on prend ça pour acquis. Combien de DSI me parlent des merveilleux boîtiers anti-DDoS qu'ils ont mis en place à grand frais devant leurs serveurs métier et me regardent étrangement lorsque je leur demande qui s'occupe de leur DNS.

On peut espérer, donc... Il y a huit ans déjà je m'enflammais pour DNSSEC, qui devait - enfin - fiabiliser le vénérable protocole. Huit ans plus tard, je continue pourtant à disserter sur l'insécurité de cette clé de voûte essentielle à l'Internet et aux réseaux.

Pour l'heure, donc, seuls les correctifs constituent une parade valable à cette attaque. Attention cependant : les serveurs DNS particulièrement chargés (au delà de 10.000 requêtes par seconde selon le l'ISC) pourraient souffrir de l'application des correctifs (c'est que le source port randomization, c'est gourmand). Et il semblerait que certains pare-feu personnels aient des soucis à gérer les serveurs DNS patchés (au moins ZoneAlarm face au correctif Windows).

Pour le reste, il y a encore un petit mois pour appliquer les correctifs. Après quoi Dan Kaminsky aura révélé les détails de son attaque et, probablement, tous les serveurs DNS récursifs de la planète seront testés...