Apple in de fout met DNS-patch

Gepubliceerd: Maandag 4 augustus 2008

Security-onderzoekers bekritiseren de patch die Apple vorige week heeft uitgebracht voor het dns-lek. Systemen met de client-versie van Mac OS X zijn nog steeds niet veilig.

Toon volledig artikel

tipper op Maandag 4 Augustus 2008 10:59

Dat krijg je als je een monopolie hebt en niemand anders jouw broncode kan lezen. die verdraaide geldwolven Ballmer en Gates ook. Oeps, het gaat hier om Apple en niet om Microsoft. Vond het al vreemd dat er zo weinig reacties waren.

-1 / 31

M Wegman op Maandag 4 Augustus 2008 11:04

Ik snap je reactie niet goed?

Even los van dat het Apple betreft, is het wel typerend na de zoveelste patch die laat is... dat deze ook nog eens onvolledig is.

6 / 20

tipper op Maandag 4 Augustus 2008 11:35

Als ik de grap moet uitleggen is de clou niet meer leuk :-)

-4 / 22

Anonymous Coward op Maandag 4 Augustus 2008 18:23

Dan heb jij nog niet gehoord van het Darwin Project wet volgens mij behoorlijk open source is!

-2 / 8

chubbychaser op Maandag 4 Augustus 2008 11:13

Maar leg mij eens uit waarom je met een client hier last van zou hebben? Je gaat een Mac client toch geen DNS server laten zijn? Of mis ik wat?

6 / 16

burne op Maandag 4 Augustus 2008 11:28

Geen *recursive* resolver. Een client, OS-X of ander OS, zal altijd alles opvragen bij z'n geconfigureerde DNSsen. Je hebt dus al veel minder vrijheid. Je zult specifiek 1 DNS na moeten doen, niet gewoon eentje naar keuze.

Om de exploit te kunnen gebruiken moet je in de situatie verkeren dat je de server een specifieke hostname op kunt laten zoeken, je moet weten waar 'ie dat gaat doen, en vervolgens moet je proberen de bron van het antwoord na te doen, en je moet sneller zijn dan de legitieme DNS die het request beantwoord. Als je aan die vier lastige voorwaarden voldoet heb je een kans van 1:65536 om het juiste nummer te gokken en jezelf succesvol als de legitieme nameserver voor te doen.

Op een server zou je dat kunnen doen door een verbinding op te zetten met bijvoorbeeld de MTA en daar HELO tegen te gaan roepen, en hopen dat de resulterende A-query voorspelbaar genoeg is. Op een client is er geen manier om voorspelbaar DNS queries te genereren. Ofwel zit de client achter NAT, of hij heeft een firewall die je tegenhoudt.

Vervolgens is het faken zelf ook nog eens stukken lastiger. Op een server die netjes aan een snelle gigabit-link hangt kun je gebruik maken van een botnet om zo snel mogelijk zoveel mogelijk mogelijke antwoorden naar de server te rammen, in de hoop een keer raak te schieten. De verbinding met de meeste clients die wel direct aan het internet hangen en waar je dus zou kunnen faken, is een stuk trager en reageert heel anders op botnetten die DNS-antwoorden als DDoS sturen.

Dus ja, er bestaat een theoretische kans om dezelfde exploit tegen een client te gebruiken, maar die was al vrijwel onmogelijk, en is na de patch van Apple behoorlijk veel lastiger geworden, maar, theoretisch gezien is de kans nog altijd niet nul.

Storm in een vingerhoedje.

11 / 13

chubbychaser op Maandag 4 Augustus 2008 11:55

Ik snap niet dat mensen mij minnen dan. En is dus inderdaad geen gevaar op Mac OS client. Typisch gejank dus weer van puristische researchers die hun budgetten willen veiligstellen door relevant te lijken te zijn. En Apple haten omdat het niet open is blablabla.

-1 / 15

griebels op Maandag 4 Augustus 2008 12:12

Je hebt gelijk. Helaas wordt er nogal clueless omgegaan met dit specifieke probleem, teveel mensen die niet weten wat het probleem nu precies is (het is iets met DNS, help!) moeten zich er zo nodig mee bemoeien.

Als iedereen zich eens zou verdiepen waar het specifieke probleem zit, dan zou men ook de aandacht schenken aan de systemen waarbij deze bug wel degelijk een probleem veroorzaakt. Er zijn nl. nog talloze ongpatchte grote recursive DNS implementaties.

Natuurlijk moeten ook binnen afzienbare tijd je clients gepatched worden, maar dat is niets wat je halsoverkop van vandaag op morgen hoeft te doen.

6 / 8

pom op Maandag 4 Augustus 2008 12:44

en jullie steken nog steeds jullie kop in het zand omdat jullie de exploit patchen en niet de bug.

DNS is een oud voorbij gestreefd protocol met veel zwakheden.

Er wordt al van in het begin een argument gevoerd dat randomized source ports nodig zijn, door djbdns.
Nu is er een reliable exploit door het gebruiken van athoritive name server records.

Het spoofen van een antwoord is helemaal geen probleem bij dns, het kan alleen zijn dat je een paar minuten moet proberen. De "zwakheid" hier is dat je als je een goed antwoord hebt het geldig is voor meer dan 1 domain/ip.

DNS is nog steeds zwak, en om toekomstige problemen te voorkomen is het minste dat je kan doen source port te randomizeren. om zo 32it in plaats van 16bit entropie te krijgen.

Beide waarden zijn veel te laag voor een critisch systeem als dns, en er zou een degenlijke authenticatie ingebouwd moeten worden.

Beide kanten zijn fout, Apple door niet gewoon de BIND patches door te voeren, en de mensen die het labelen als "fout".

Iedereen die zo over zeker is dat Apple zo juist is, moet eens bedenken hoe vaak ze microsoft niet vervloekt hebben omdat ze enkel een exploit patchte maar niet de bug, waardoor er wat later nog meer problemen waren.

Momenteel kan je client requests spoofen met een kans van 1/70000 meestal klien genoeg?.. maar er zijn genoeg mogenlijke vectors(ook al ben jezelf niet creatief genoeg om ze te herkennen). Het zo maken dat het 1/4.000.000.000 is door de source port te randomizeren is zoizo geen slechte optie.

13 / 13

griebels op Maandag 4 Augustus 2008 13:37

Welkom in de wereld die het Internet heet... en ja, figuren zoals DJB hebben vaak gelijk, ook zijn standpunt rondom DNSSec bijvoorbeeld (dat het niet werkt), zijn standpunt met betrekking tot IPv6 (dat dat ook niet werkt), etc.

DJBDNS gebruikt al sinds versie 1 (we zitten op 1.03 ofzo) fully randomized source ports, op een server met redelijk wat verkeer zal er voldoende entropy zijn. De kans dat je dan een request kunt spoofen is er nog steeds, maar redelijk theoretisch. Wellicht zul je zoveel pakketjes nodig hebben dat het al meer gaat lijken op een DoS dan op een spoof-attempt op de meeste systemen.

En wie steekt hier de kop in het zand?

DNS een oud, voorbijgestreefd protocol met zwakheden... Zo ken ik er nog wel een paar:

- HTTP, SMTP, BGP, PPtP, ik kan nog wel een tijdje doorgaan.

Het Internet draait erop helaas. Veel dingen zijn niet zomaar "fixable", zonder dat je daarmee "het Internet" stuk maakt.

De enige definitieve oplossing voor DNS is het vervangen van DNS door iets wat signed pakketjes stuurt. Helaas is DNSSec zo bloated dat het gewoon niet fatsoenlijk van de grond kan komen, net zoals IPv6 en al die andere slecht aangepakte "migratieplannen" van de afgelopen jaren.

Echter, er zijn ook mensen die geld moeten verdienen, die kunnen zich niet bezig houden met het implementeren van de laatste versies van alles. Of continue netwerken ombouwen, omdat iemand heeft besloten dat technologie X of protocol Y onveilig is. Dan zal men eerder "workarounds" implementeren.

Zelfs al vervangen we nu alle vurnerable protocollen met nieuwe, zullen we binnen enkele jaren er achter komen dat we een gigantisch aantal aan nieuwe exploits over het hoofd hebben gezien.

En Apple is zeker laat met zijn patches in dit geval, maar Apple verdient voor dit niet de negatieve publiciteit die het krijgt. En verder zijn er zeker nog 1000 andere zaken waarvoor Apple negatieve publiciteit zou verdienen, maar problemen maken waar ze niet zijn is ook een kunst (waar met name de media heel goed in is).

8 / 8

pom op Maandag 4 Augustus 2008 14:21

dat systemen geimplementeerd zijn in het verleden zonder een duidelijke strategie om ze op een bepaalt punt te vervangen is zeker geen nieuw probleem.

wat je daar zegt van "slechte publiciteit verdienen" daar hou ik me niet mee bezig. Het is zo dat Apple er niet in slaagde om de patches uit te rollen alvorens de bug in the wild was. Waar de andere operating systemen wel in sloegen.

Rond het feit of er al dan niet een "fout" in de patch zit, moet je je echt niet aantrekken ze. Je loopt trouwens een veel groter risico door te beweren dat het geen fout is dan het probleem op te lossen. Het aantonen dat iets wel exploiteerbaar is, is echter eenvoudiger dan bewijzen dat het niet zo is. En met immer snellere netwerkverbindingen, maakt het meer en meer onzeker. Het kan ook helemaal geen kwaad om de source poort van de client libs te randomiseren.

Ik ben trouwens niet zo zeker dat de client libs niet als recursive resolver kunnen werken. Meeste installaties zullen gewoon als eerste hop contact hebben met de recursive corporate/ISP servers.
Maar als je enkel iterative queries kan doen, lijkt het me zeer sterk dat je de A NS records niet zou cachen. Ik ken de bind 9 code niet uit mijn hoofd, en al helemaal niet de specifieke versies die op de macosX'en draaien.

3 / 7

griebels op Maandag 4 Augustus 2008 14:32

De standaard BIND client libraries doen geen recursie, kun je eenvoudig uitproberen door een root-server in je /etc/resolv.conf te plaatsen. De Windows client libaries zullen ook geen recursive queries snappen. Waarom ook?

En zelfs al zouden ze het kunnen, elke client gebruikt toch minimaal een recursor, meestal op een lokaal netwerk of bij een ISP.

Dus, zelfs al zijn die client libaries lek, dan zou de attack al moeten plaatsvinden tussen de recursors en de client of op de client zelf. Optie 1 zou betekenen dat je netwerk een algeheel security probleem heeft en optie twee dat je client last heeft van malware.

5 / 7

pom op Maandag 4 Augustus 2008 22:33

eerst en vooral gebruik je het woord "tussen" om een indruk te wekken van plaats, maar er zijn veel factoren die bepalen wie zen paketje eerst aankomt.

- DNS server load (daar heeft de attacker vaak ook controle over)
- name servers hebben geen 100% uptime, het kan al eens gebeuren dat er een pctje of een netwerkverbinding het begeeft, of zelf wordt uitgezet tijdens herstellingen. Wachten tot zoiets gebeurt is zeker geen ongekende optie.
- er is niets dat je tegenhoud om een stroom spoof paketjes te versturen alvorens de query gesteld is aan de server, je zou theorethisch de query kunnen lanceren wanneer er al spoof pakettjes onderweg zijn
- er zijn een hele hoop mensen die hun dns servers op "openDNS" zetten, zeker nadat het is voorgespiegeld als workaround voor kaminsky bug. veel kans dat je daartussen zit dus
- bijvoorbeeld op mijn oude uni zou iedereen vanuit een simpel labo "tussen" de name server en clients zitten alsook de proffen, wiens ip toch wel eens in email headers verzeilen, ... en wees gerust er zijn best wat proffen die stoeffen met macbooks, we betalen die teveel denk ik :p. Het is een geswitched netwerk, dus ARP cache poisoning is niet echt een optie.

desalniettemin is het doen zwijgen van de reguliere dns server zeker een factor in het uitbouwen van een attack tegen dns. Maar met de bovenvermelde argumenten durf ik te beweren dat het onduidelijk is hoeveel "entropie" deze factor teweegbrengt. In een aantal gevallen helemaal geen.

2 / 2

Sokolum op Maandag 4 Augustus 2008 13:46

Aahh, is dat ook reden waarom Apple zich uit Black Hat terug trekt?

Apple trekt zich terug van hackersconferentie

Het zou mij niets verbazen dat er bij Apple op dat gebied maar een paar man met verstand eraan werken. Dat zie je wel vaker bij dat soort wat kleinere bedrijfjes. Al is Apple niet meer klein bedrijfje te noemen. Raar bedrijf.

Het blijft gissen bij Apple, wat is dat een vage club aan het worden.

4 / 10

chubbychaser op Maandag 4 Augustus 2008 15:57

Apple maakt producten die typisch niet gericht zijn op het type mensen die geinteresseerd zijn in hackersconferenties. En gezien het feit dat OS X in de practijk nog steeds erg veilig is doen ze toch blijkbaar iets goed op veiligheidsgebied met hun paar man.
Steve Jobs heeft zich nog nooit gestoord aan wat de wereld van hem vindt, dus die hackernerds kunnen roepen wat ze willen. Net als die aandeelhouders over zijn gezondheid.

0 / 10

Anonymous Coward op Maandag 4 Augustus 2008 18:30

Tja en dan nog nagaan IE 6 nog steeds problemen heeft na al die jaren met Active X control .. lachwekkend haast.
Laat ze maar lekker met hun eigen OS gaan spelen ... die discussies hier gaan vaak nergens over.

1 en al pro Windows en anti-apple.

Als ik al zou switchen van Mac naar een ander OS zou ik gewoon voor BeOS gaan en echt nooit meer terug naar Windows.

-2 / 6

Anonymous Coward op Maandag 4 Augustus 2008 21:44

waarom nu over een MS product beginnen in een technisch goed verlopende discussie?

Heb jij zo'n behoefte aan trollen hier... ga een hobby zoeken.

0 / 6

Anonymous Coward op Maandag 4 Augustus 2008 22:01

Lees die andere onderwerpen maar eens .... zal een hoop verklaren!
En als we het over trollen hebben, ik lees bij sommige onderwerpen de grootste onzin over OSX van Windows gebruikers.

Om 1 te noemen:
Apple gebruikers moeten een virusscanner draaien om Windows gebruikers te beschermen ... ik heb geen virusscanner op mijn NT bak.

Tja .... duidelijk toch? ;)