Tomáš Hlaváček: Útok na DNS cache pomocí IP fragmentů
O novém útoku na DNS psal nedávno Ondřej Surý na blogu sdružení. Byl objeven na Bar Ilan University v Izraeli a veřejně prezentován na IETF 87. Tomáš Hlaváček je spoluautorem jedné ze dvou funkčních implementací tohoto útoku.
„Útok je zajímavý tím, že se dá realizovat v poměrně krátké době a není příliš technicky složitý. Má ale spoustu prerekvizit, které jej činí ne zcela triviální pro realizaci.“ Útok spočívá ve zneužití mechanizmu IP fragmentace, díky čemuž dokáže modifikovat data UDP komunikace, aniž by útočník musel fyzicky stát mezi obětí a serverem. Podstata je v redukci entropie DNS zprávy z 32 bitů (zdrojový UDP port a DNS ID) na 16bitové IP ID. Funguje to tak, že správné hodnoty UDP portu a DNS ID jsou uloženy v prvním fragmentu fragmentovaného datagramu, který útočník nemodifikuje. Druhý fragment, který útočník zfalšuje, je pak k prvnímu vázán pouze 16bitovým IP ID, které ještě na některých platformách navíc není přidělováno náhodně, ale sekvenčně. Tak je možné modifikovat data v rekurzivním DNS serveru.
Existují dva způsoby, jak vyvolat fragmentaci DNS provozu. Buď je možné vytvořit speciálně zformátovanou zónu, která bude vždy vracet odpovědi delší než 1500 B, nebo je možné falšováním ICMP zpráv sloužících k objevování MTU cesty donutit legitimní server k fragmentování provozu. Protože takovou zprávu může vygenerovat kterýkoli router na cestě a protože koncový systém nemá možnost zkontrolovat, zda zdrojová adresa skutečně patří nějakému routeru na cestě, není třeba falšovat zdrojovou IP adresu a přinejmenším Linux falešnou zprávu o nižším MTU přijme. Ta se uloží v keši směrovací tabulky na 10 minut. Drobným problémem je, že Linux akceptuje nejnižší možnou hodnotu MTU rovnou 552 B, takže není možné vnutit extrémně nízkou MTU, která by byla pro útok výhodnější.
Po vynucení fragmentace na cestě od autoritativního serveru k rekurzivnímu útočník injektuje připravený druhý fragment do vyrovnávací paměti rekurzivního serveru a vyvolá dotaz, o kterém ví, že povede dotaz směrem k autoritativnímu serveru. Jakmile autoritativní server pošle rekurzivnímu první fragment odpovědi, je v rekurzivním serveru spojen s druhým fragmentem útočníka a předán vyšším vrstvám.
Prakticky je realizace podobného útoku technickou výzvou. „Vygenerování falešných ICMP paketů je jednoduché, složitější je ale najít doménu, která je zranitelná. Musí generovat dostatečně velké množství dat, aby data určená k podvrhnutí padla do druhého fragmentu. Také je třeba data v podvrženém fragmentu modifikovat tak, aby platil kontrolní součet, který je v záhlaví UDP paketu. „Naštěstí se jedná o lineární systém výpočtu kontrolního součtu, takže není problém upravit si data podle potřeby,“ konstatuje Tomáš Hlaváček.
Útok realizovaný v laboratořích CZ.NIC má úspěšnost přibližně v jednom ze tří pokusů, z důvodu náhodného pořadí dat v ADDITIONAL sekci DNS zprávy. Nejúčinnější obranou je nasazení DNSSEC, kde validující resolver kontroluje veškerá DNS data podepsaných domén, takže podobný útok vůbec nemůže být účinný.
Lukáš Macura: BESIP a OpenWRT – život v rovnováze
Lukáš Macura ze sdružení CESNET představil projekt BESIP. Jedná se o embedded řešení pro IP telefonii postavené na platformě OpenWRT. Cílem bylo získat monolitický design, tak aby jednotlivé komponenty dobře spolupracovaly a bylo je možné aktualizovat najednou jako celek. Kromě malých SoHo routerů existuje také v podobě obrazu virtuálního serveru. Ihned po spuštění je systém nakonfigurován pro volání do VoIP infrastruktury CESNETu.
V rámci projektu BESIP bylo v OpenWRT upraveno či portováno mnoho balíků s ústřednami Asterisk a Kamailio, Zabbixem a dalšími. Konfigurace BESIP zařízení je zamýšlena protokolem NETCONF, na jehož portaci autoři také pracují.
Zařízení BESIP je také vybaveno snadným provisioningem nastavení. „Po prvním zapnutí provede systém DNS dotaz na speciální doménové jméno, ze kterého zjistí případnou URL s konfigurací, tu stáhne a aplikuje,“ říká Lukáš Macura.
Celý projekt je vyvíjen s těsnou vazbou na upstream OpenWRT, do kterého jsou průběžně přijímány patche vytvořené v rámci projektu. Vývojáři projektu se také stali oficiálními správci balíčků telefonní sekce OpenWRT.
TABLEXIA – moderní vzdělávací pomůcka pro děti s dyslexií
Karolína Rybářová a Andrea Šíchová z laboratoří CZ.NIC představily nové vzdělávací projekty. Jejich snahou je reagovat na současné trendy vybavování škol tablety pro interaktivní výuku, přitom se zaměřit na oblasti, které pro komerční sektor nejsou příliš zajímavé.
Název aplikace Tablexia je složeninou slov tablet a dyslexia. Jedná se o tréningovou aplikaci pro děti s touto poruchou učení. Laboratoře CZ.NIC plánují vydat zdarma aplikaci v první fázi pro tablety platformy Android, které jsou cenově nejdostupnější. Aplikace bude vydána jako open source s licencí Creative Commons.
Cílovou skupinou jsou děti na druhém stupni základních škol. Aplikace by měla dodávat uživatelům zpětnou vazbu, jak byla použita a zda došlo ke zlepšení během používání. Plánujeme použití ve školách, ale chceme, aby aplikace byla tak atraktivní, že si ji děti budou chtít nainstalovat a používat samy.
V současné verzi jsou k dispozici tři hry, které mají společné herní prostředí, grafiku a ovládací prvky. Každá hra trénuje jednu specifickou kognitivní oblast. Protože je hra určena pro starší děti, je její součástí také encyklopedie detailně popisující kognitivní poruchy. Hra je situována do detektivní kanceláře. Tři hry jménem „bankovní lupič“, „pronásledování“ a „únos“ testují vizuální rozlišování, orientaci v prostoru a sluchovou orientaci.
Aplikace byla prakticky testována ve dvou školách a v DYS-centru Praha, se kterým tvůrci aplikace spolupracují. „Potěšilo nás, že jsme dostali známku 1,8, což na to, že nejde o žádnou střílečku, považujeme za úspěch.“ Na základě testování byla také upravena obtížnost úrovní, protože se původní hry ukázaly jako příliš jednoduché. Do budoucna je plánováno rozšíření počtu her, které budou mít stále jednotný motiv. Vydání aplikace je naplánováno na počátek roku 2014.
Lenka Krejčová: IT jako „lék“
Lenka Krejčová z DYS-centra Praha plynule navázala na představení hry Tablexia. Téma dyslexie se týká pěti až deseti procent populace, které může IT v určité oblasti pomoci. Jedná se o velice složitě definovanou kognitivní poruchu, kterou je možné shrnout do věty: Dyslektik je ten, který se učí jinak.
Informační technologie mohou sloužit nejen v zmírňování následků dyslexie, ale i jako kompenzační pomůcka. Nejčastěji jsou staršími dyslektiky využívány softwary pro převod textu na řeč (TTS). „V současnosti existuje pokud vím jeden TTS program určený pro dyslektiky.“ Opačný převod, tedy Speech to text, je k dispozici v angličtině, ne však v češtině. Velkou výhodou jsou také elektronické čtečky knih: „Kromě možnosti nastavit si velikost písma podle potřeby je tu také psychologická výhoda, že není vidět tloušťka knihy.“ Dyslektiky totiž často odradí představa nutnosti přečíst velmi tlustou knihu.
Lenka Krejčová dále pohovořila o Dyslexia-friendly designu, například webových stránek. Ve zkratce jde o jednoduchou orientaci, spíše méně souvislého textu, ten by měl být maximálně strukturovaný. Je také dobré využívat symboly. Když si dyslektik otevře webovou stránku plnou souvislého textu se spoustou barevných obrázků a odkazů, tak obvykle takovou stránku okamžitě zavře.
Zajímavé je, že dyslektikům často nevyhovuje vysoký kontrast černé na bílé a patková písma. Jenom změna barvy pozadí v textovém editoru dokáže dyslektikům výrazně pomoci získat lepší orientaci v textu.
Foto: Igor Kytka, CZ.NIC
