Vlákno názorů k článku Analýza: zranitelnost „rom-0“ postihuje 1,5 milionu domácích routerů od me - Pred par dny jsem zjistil, ze jeden moravsky...
-
me (neregistrovaný)
Pred par dny jsem zjistil, ze jeden moravsky ISP presmerovava veskere DNS dotazy na svuj interni DNS server. Je uplne jedno, co mate v routeru nakonfigurovano, DNS na portu 53, obslouzi server ISP, takovy "man in the middle attack".
Osobne se mi takovy napad nelibi, ale asi je to ochrana BFU proti utoku popsanemu v clanku.
Mozna ze je takovych ISP vice, ale presmerovani DNS se dost spatne detekuje, takze to uzivatel nemusi vedet a ISP takovou prasarnu neinzeruje a vetsine uzivatelu je to vlastne jedno.... Presmerovani lze zjistit, treba OpenDNS ma specialni stranku, ktera se zobrazi, pokud DNS zaznam neexistuje. Takze pokud nastavite na routeru DNS na OpenDNS, lze zjistit, zda je DNS presmerovane anebo ne. OpenDNS ma take peknou diagnostiku, detaily vcetne programu zde:
https://support.opendns.com/entries/21841580-Diagnostic-Tool-Link
Jinou moznosti detekce muze byt pouziti nejakeho exoticky DNS serveru, ktery podporuje "divne" TLD, treba OpenNIC.
DNScrypt take pomuze, ale zatim neni soucasti Linux distribuci...
http://www.opendns.com/about/innovations/dnscrypt/ -
Withy14 (neregistrovaný)
Znám jednoho takového poskytovale internetu, který, pokud nemáte jeho DNS, tak blokuje POP3 a SMTP (plus pár dalších věcí). Tak co je teď větší prasárna? I když je pravda, že kdyby mi můj hlavní poskytovatel (využívám bohužel jen sporadicky) tohle udělal, tak jdu od něj pryč.
-
Tak to by mne zajimalo, jak tohle udelat. Rekl bych, ze je to spis tak, ze nejak zapomneli publikovat adresy POP3 a SMTP a akorat si je natvrdo napsali do sveho DNS serveru. To byste mohl vyzkouset prikazem dig pres jejich server a pak pres jiny. Obejit by to slo asi pouzitim /etc/hosts nebo zapsani ip adresy natvrdo namisto jmena serveru. Tipoval bych, ze ten ISP je spis chlivak, nez svine a bastli to nekde v garazi na kolene. To neni vzdy ta nejlepsi metoda, tak nejak vznikl Microsoft.
-
me (neregistrovaný)
Pokud timto zpusobem ISP bojuje proti malware ktery meni DNS, tak je to efektivni reseni. Nicmene ISP by mel o teto skutecnosti informovat a pripadne umoznit uzivatelum na prani toto "vylepseni" vypnout. Take by bylo dobre mit nejaky whitelist DNS serveru, ktery by presmerovavany nebyly, ale nevim, jak je slozite takovou konfiguraci udelat.
Dobrym zpusobem jak muze koncovy uzivatel sveho ISP obejit je pouzit DNScrypt, ten jiz nabizi dlouhy seznam DNS serveru, ktere jej podporuji. Ale to znamane, ze musite mit lokalni PC na kterem pobezi DNS proxy. DNScrypt neni soucasti dnesnich Linuxovych distribuci a uz vubec jej nenajdete v SOHO routerech; ty ani neumi smerovat DNS dotazy na jiny port, coz by se take hodilo...
Kdyz tak nad tim premyslim, na trhu se treba jiz brzy objevi nova SOHO krabicka, bezpecny DNS server... ;-)
Taky me napadlo, ze se musim podivat, zda DNScrypt uz ma podporu od CZ.NIC. (https://labs.nic.cz/odvr/). Asi ne, ale pry je podpora na strane DNS serveru snadna, jen nejaky modul...
ČLÁNKY DO MAILU