[FUG-BR] ainda sobre a falha de segurança do DNS (bind)
Renato Frederick
frederick em dahype.org
Quinta Julho 31 09:31:18 BRT 2008
Irado:
http://cr.yp.to/djbdns/forgery.html
DJB costuma ser bem enfático em suas opiniões, mas o link acima é bem
interessante a respeito desta falha que existe também no dnscache, mas a
ressalva é segundo próprias palavras dele:
"The dnscache program uses a cryptographic generator for the ID and query
port to make them extremely difficult to predict. However,
an attacker who makes a few billion random guesses is likely to succeed at
least once;
tens of millions of guesses are adequate with a colliding attack;
against BIND, a hundred thousand guesses are adequate, because BIND keeps
using the same port for every query; and
against old versions of BIND, a thousand guesses are adequate with a
colliding attack."
Interessante também os comentários a respeito de DNSSEC, justificativa muito
usada para não se implementar o tinydns:
" I'm not going to bother implementing DNSSEC until I see (1) a stable,
sensible DNSSEC protocol and (2) a detailed, concrete, credible plan for
central DNSSEC deployment."
Extrapolando um pouco o assunto, a opção do "NYM" me chamou atenção, parece
uma boa solução.
> b) não é a primeira vez que vejo menção similar a respeito do djbdns;
> possivelmente seja mesmo mais seguro do que o bind. A mesma razão que
> levou o Wietse Venema a criar o postfix: insegurança do MTA disponivel
> à época.
>
>
>
> http://www.noticiaslinux.com.br/nl1217474661.html
Mais detalhes sobre a lista de discussão freebsd