トップ 追記

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2020-01-24 DNSSEC 推進に本当に必要なこと

「つぶらな瞳で考える、DNSSECの普及に必要な何かは何か?」への暖かいエール

JANOG 45 Meeting (1/22 - 1/24) はとても有意義でした。開催に尽力された方々には感謝の念でいっぱいです。札幌の夜も堪能させて頂きました。(酔って書いてる)

今回一番楽しみにしていたセッションは 2 日目の「つぶらな瞳で考える、DNSSECの普及に必要な何かは何か?」でした。登壇者の皆さん、とても良いセッションでした。ここに再び暖かいエールを贈らせて頂きたいと思います。

「DNSSEC はすべての攻撃は防げないが防御ゼロよりは良い」という心強い推進論を拝聴しました。しかし、

  ドメインの署名率 は 3% (日本は 500?)
  検証しているリゾルバ 24.6% (日本は 9%)

とのことでした。計算してみると、DNSSEC で守られているのは 0.03*0.246=0.7% (日本は 500/1,500,000*0.09=0.3%) ということになりますかね。とても残念な状況ですね。

一方、DNSSEC 対応の TLD 配下のドメインはすべからく第一フラグメント便乗攻撃に対して脆弱になっています。第一フラグメント便乗攻撃に対する防御のエントロピーは 16bit + α、つまりカミンスキー攻撃 (2014) で大騒ぎしてポートランダマイズする前と同じです。(ポートランダマイズは第一フラグメント便乗攻撃に非力)

2014年に JPNIC、JPRS、JPCERT/CC さんたちが以下のような注意喚起を行っています。
<<< JPCERT/CC Alert 2014-04-15 >>> DNS キャッシュポイズニング攻撃に関する注意喚起

なぜカミンスキー攻撃でこのようにインターノットの危機を憂いた方々が DNSSEC 推進にあたって第一フラグメント便乗攻撃を注意喚起して対策を促さないのでしょうか? 0.7% (日本 0.4%) を守るために、99.3% (日本99.7%) が DNSSEC によって脆弱になっている状況をなぜ無視できるのでしょうか?

それから、「DNSSEC の大きな応答による DNS アンプ攻撃は問題としなくて良いのか?」という私の質問に「DNSSEC 以外にも攻撃の踏み台はいくらでもある。」との回答を頂きましたが、、、

JPNIC、JPRS、JPCERT/CC さんたちは、2013 年に、
<<< JPCERT/CC Alert 2013-04-18 >>> DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
という注意喚起をしてくださっています。

おかげ様でオープンリゾルバはかなり減ってきています。一方で攻撃者はわざわざオープンリゾルバを探さなくても、増加中の DNSSEC 署名サイト、DNSSEC 署名 TLD を踏み台にすることができます。しかもこれらは安易にブロックするわけにはいきません。より悩ましい攻撃の踏み台となりつつあります。推進すればするほど脅威となります。これを無視するのはダブルスタンダード以上の問題ではないでしょうか。

結論:

DNSSEC はキャッシュポイズニングで悪意あるサイトに誘導されるのを防ぐのに有効なのは同意です。(DNSSEC は失敗プロジェクトという私の普段の主張 は今回棚上げしておきます)
そうであるならば、、、

  1. DNSSEC 署名ドメインもキャッシュポイズニングされると、名前が引けなくなる DoS となります。 その検知と対策方法を示すべきです。
  2. JP の運用は危険です。私の指摘に壇上から支持頂きましたが NSEC3 の opt-out 運用をやめるべきです。また当然ながらフラグメント対策も必要ですね。
    (彼らは何をすべきかわかっているはずだがなぜか放置状態)
  3. 第一フラグメント便乗攻撃への注意喚起を行うべきです。我々が示したように対策は色々あります。JPRS の藤原さんの提案もあります。
    (現状は署名していないドメイン、検証していないキャッシュサーバは非常に脆弱です)
  4. DNSSEC は TCP でやってください。
    大きな UDP でキャッシュポイズニングや DNS アンプ攻撃の脅威となることを避けるべきです。TCP でやればいいじゃないですか。
    (第一フラグメント便乗攻撃を懸念して従来のデフォルト EDNS0 buffer size 4096 byte を今年予定されている DNS Flag Day 第二弾で 1220 byte にしようとしているようですが未練がましい大きさですね。伝統的な DNS に戻って UDP は 512 byte までとして、DNSSEC は TCP でやればいいじゃないですか。)

これらを進めるのは DNSSEC 推進にとって不都合な真実だったりするのでしょうか? ぜひ問題点を解決しつつ 100% 近いドメインが署名し、100% 近いリゾルバが検証するよう頑張って頂きたいと思います。とても難しいと思うし、できなかったら却って危険なわけですけれど前向きがよいですよね。


参考: DNSSEC はなぜダメなのか


2019-12-13 DNS は酒と温泉の肴

温泉は良いぞ

DNS 温泉ではこれまで、猿投温泉(愛知)、玉名温泉(熊本)、熱海温泉、山代温泉(石川)、猿投温泉(二回目)、下呂温泉(岐阜) と回ってきて、次回は北海道の定山渓温泉の予定です。DNS 温泉は私が酒と温泉を楽しみたくてやっているようなものです。DNS 温泉 Advent Calendar 2019 の今日のネタに私がこれまで行った中で気に入った温泉をいくつか簡単に紹介します。

1. 2. 3. 4. 5. 6. 7.

並べた写真は順に以下の温泉です。

  1. 馬曲温泉(長野) : 山の上からの眺望がとても良い温泉
  2. 加賀井温泉 一陽館(長野) : 松代大本営近くのとても鄙びた赤い錆色の湯が気持ち良い温泉
  3. 鹿塩温泉 山塩館(長野) : 山塩の採れる山間のしょっぱい湯の温泉
  4. 新穂高温泉 槍見館(岐阜) : 槍ヶ岳が眺望できる露天風呂のある温泉
  5. 別府温泉 シーサイドホテル美松(大分) : 別府湾の日の出の眺望が素晴らしい温泉
  6. 熱海温泉 伊豆山研修センター(静岡) : DNS 温泉 2 で利用した研修に都合の良い温泉
  7. 下呂温泉 木曾屋(岐阜) : DNS 温泉 6 で利用した畳敷の温泉

番外に名古屋新栄の座敷に足湯のある居酒屋さんを紹介しておきます。そのうちここでミニ DNS 温泉を開きたいと思っています。


2019-12-11 浸透って何?

浸透いうなシミュレーション

浸透などという現象がないことを示す「浸透いうなシミュレーション」 のページを公開しました。 浸透いうなグッズとともに浸透いうなの活動にお役立てください。


2019-12-06 黒塗りのDNS -論文編-

論文「共用DNS権威サーバの脆弱性」を発表

12/4 に那覇市の沖縄県立博物館・美術館で行われた情報処理学会第87回コンピュータセキュリティ研究発表会 (CSEC87) で、論文「共用DNS権威サーバの脆弱性」を発表してきました。

これは 4/23 の ssmjp での「黒塗りのDNS (萎縮編) ~共用サービスの闇~」および 9/7 の DNS 温泉 6 の夜の部の「黒塗りの DNS (あからさま編)」で語らせて頂いた話を注意喚起のために論文にまとめたものです。

会場では以下のような質疑がありました。(要約)

  1. RFC を変えさせるよう動いてはどうか?
    私はやらない。JPRS などが動いてくれるとよいかと思う。
  2. DoT, DoH は関係ないですね?
    ない。ちなみに DNSSEC も攻撃可能。
  3. 脆弱性のある事業者には連絡したか?
    メールサーバの脆弱性を確認した事業者に対しては JPCERT/CC に報告した。(動いてくれているはず)
    Lame delegation の乗っ取りに脆弱な Route53 についても AWS は問題を認識している。(ゾーンを削除する際に警告がでる / 不十分だがさらなる対応もとられるだろうと認識している)
  4. 脆弱な事業者はどれくらいあるのか?
    たくさんあるだろうが調査しきれない。調べるには金がかかる。大多数が対応するまで利用者を危険に晒しながら注意喚起しないのは問題ではと思う。公的団体は責任ある開示という立場から及び腰であるが隠し通せる問題ではないし、利用者に注意喚起しつつ対策を促す必要があると思う。  

今回の発表で議論したかったのはまさにこの 3, 4 番めの話でした。対策や公的な注意喚起が遅々として進まない状況において微力ながらも注意喚起を行うとともに、隠せない問題や解決が進みそうもない問題にまで責任ある開示 (responsible disclosure) にこだわる方面への問題提起として、この論文を書き、発表を行わせて頂きました。もし議論が進むならうれしく思います。

なお同日、私のゼミの M1 の太田くんも "A survey on the status of measures against IP fragmentation attacks on DNS" (第一フラグメント便乗攻撃への対策状況の調査) を発表してくれました。近いうちに彼からも資料の公開があると思います。(CSEC非会員は有料ですがこちらではすでに公開されています)

私の発表スライドはこちら。論文はこちら (あるいは IPSJ のこちら)。

ところで沖縄はやはりとても良いところですね。飛行機嫌いを押して行ってきてよかったです。写真は発表会場、情報交換会会場のお姉さん、帰りに寄った屋台村。てびち、山羊、ぐるくん、沖縄そば、そして白百合 (泡盛) 等々たっぷり沖縄を堪能してきました。(しかし飛行機は嫌い/もう乗りたくない)

なお本記事は「DNS温泉 Advent Calendar 2019」への参加記事 (5日目)です。

本日のツッコミ(全33件) [ツッコミを入れる]

Before...

sữa kid essentials mua ở đâu [Sữa có mùi vị ngọt vừa nên, ko ngọt gắt. http://music-like..]

tặng robux miễn phí [Robux là công ty tiền tệ chính của roblox. http://beautyin..]

sữa ensure đức sản xuất ở đâu [Sữa sau khi trộn nên người sử dụng hết và không nhằm thừa ..]


2019-12-02 冬の北海道で温泉と DNS

JANOG 45 Meeting に合わせて DNS 温泉 7 を開催します。

2020年1月22日(水)〜24日(金)に札幌で JANOG45 Meeting が開催されます。これに便乗して続く 1月25日(土)〜26日(日)に定山渓で DNS 温泉 7 を開催することにしました。

これまでは毎年 9 月あたり (大学の夏休み) に開催してきたのですが、いつか北海道でやりたいと思っていたこともあり、JANOG 45 Meeting に合わせて初の 1 月開催となりました。もともと nakayoshix こと中村良幸さんが北海道で開催されていたクラウド温泉に参加して触発され、2014年に中京大学と猿投温泉で第 1 回を企画して始まったのが DNS 温泉でした。

今回の DNS 温泉 7 はプログラムが未確定ですが、超初心者向けの DNS 入門とハンズオンを中心に、CSEC87 (コンピュータセキュリティ研究発表会) で発表予定の「共用 DNS 権威サーバの脆弱性」や JANOG 45 でもセッションがある DNSSEC の功罪なども取り上げたいと思っています。JANOG 45 Meeting のあとまだまだ勉強したい方の参加をお待ちしております。もちろん JANOG 45 Meeting に参加されない方も歓迎です。

詳しい案内はこちらです。


なお本記事は「DNS温泉 Advent Calendar 2019」への参加記事 (2日目)です。


2019-11-30 悪貨は良貨で駆逐する

浸透いうな!直筆グッズを作成した。

DNS 浸透待ち T シャツなどという頭のおかしなものが現れたので、対抗して浸透いうな!直筆グッズを作成した。
入手はこちらからどうぞ。


2019-07-10 手と手が離れて...

GMOペパボに統合されたドメインが乗っ取り可能だった件

GMOペパボのハンドメイドマーケット minne に統合された tetote が使用していたドメイン名 tetote-market.jp が長らく乗っ取り可能な状態にありましたがようやく対策されました。

Domain Information: [ドメイン情報]
[Domain Name]                   TETOTE-MARKET.JP
 
[登録者名]                      OCアイランド株式会社
[Registrant]                    OC Island Inc.
 
[Name Server]                   uns01.lolipop.jp
[Name Server]                   uns02.lolipop.jp
[Signing Key]                   
 
[登録年月日]                    2011/03/30
[有効期限]                      2020/03/31
[状態]                          Active
[最終更新]                      2019/07/09 18:05:57 (JST)
以前は以下のように awsdns (Route53) に委任が向いていましたが、その DNS コンテンツサーバにはゾーンがない lame delegation の状態でした。
Domain Information: [ドメイン情報]
[Domain Name]                   TETOTE-MARKET.JP
 
[登録者名]                      OCアイランド株式会社
[Registrant]                    OC Island Inc.
 
[Name Server]                   ns-600.awsdns-11.net
[Name Server]                   ns-1385.awsdns-45.org
[Name Server]                   ns-434.awsdns-54.com
[Name Server]                   ns-1711.awsdns-21.co.uk
[Signing Key]                   
 
[登録年月日]                    2011/03/30
[有効期限]                      2020/03/31
[状態]                          Active
[最終更新]                      2019/04/01 01:12:57 (JST)

これがどうやって乗っ取られうるのかについては、「黒塗りの DNS」をご覧ください。(そういえば「黒塗りの DNS」についてブログを書いていなかったことに気づくなど)

この件は qmail.jp の前野さんが発見者で、私が相談を受けたのが 7/4 (木) でした。然るべき連絡先がわかって注意喚起のメールを送ったのが 7/6 (土) の朝。2時間も経たないうちに対応する旨のお返事があり、whois が書き換えられた (委任先が変更された) のが 7/9 (火) 夕刻 のようです。7/11(木) 対策完了の連絡を頂きました。(私同様に委任の NS の TTL 経過を待たれていたとのこと)

統合当時のプレスリリースをはじめとして各所に古いリンクが残っている状況では、乗っ取りによる悪用が懸念されましたがこれで一安心です。

他山の石としてネタにしてペパボさんには申し訳ないですが、みなさんも今一度、放置したままのドメイン名がないか確認しましょう。


p.s.
本記事は安全のため DNS キャッシュを考慮し whois 変更から 86400 秒以上の経過を待って公開しました。

本日のツッコミ(全1件) [ツッコミを入れる]

tm [tetoteは買収されたからまだましな方です。 廃業して、撤退したが、ドメイン名権利は残っているという有名ブランド..]


2019-02-18 木で鼻をくくっていない藤原さん

Measures against cache poisoning attacks using IP fragmentation in DNS

2/16 の DNS 温泉番外編に参加された皆さま、聴講、意見交換ありがとうございました。さてこのイベントの前日 2/15 にJPRS の藤原さんが書かれた Internet Draft draft-fujiwara-dnsop-fragment-attack-00 Measures against cache poisoning attacks using IP fragmentation in DNS が公開されました。これによれば EDNS0 のサイズを 1220 としてそれ以上のサイズは TCP にフォールバックするとしたうえで 、(この値では通常フラグメントは起きないものと仮定し) フラグメントパケットは破棄するというプロポーザルです。

個人とはいえ JPRS の肩書きではこれが限界 (512 とは言えない) なのでしょう。JPRS さんは組織として木で鼻をくくったような回答していないで、公式に注意喚起して欲しいところです。(私が主張する 512 バイトでなくとも、1220 以下のフラグメントを見捨てるということであればこのプロポーザルでもよいのではないでしょうか。) それとも「それは俺たちの仕事ではない」ということなのでしょうかね。あと去年の総務省らの注意喚起は無視でいいと思います。

土曜の DNS 温泉番外編では JP ゾーンのキャッシュへの毒入れが想像以上に容易であることのデモを見て頂くことができたかと思います。参加者の皆さんは注意喚起は必要だと思われたことでしょう。

以下、 draft-fujiwara-dnsop-fragment-attack-00 Measures against cache poisoning attacks using IP fragmentation 抜粋

4.  Proposal
 
   To avoid cache poisoning attacks using IP fragmentation by full-
   service resolvers,
 
   o  Full-service resolvers set EDNS0 requestor's UDP payload size to
      1220.  (minimal size defined by [RFC4035])
 
   o  Full-service resolvers drop fragmented UDP responses related to
      DNS.
 
   o  Full-service resolvers may retry name resolution by TCP.
(追記: 01 が出ています。差分はこちら)

本日のツッコミ(全1件) [ツッコミを入れる]

tm [まだ、JPRSからの警告はでませんね。fujiwaraのI-Dを知らないはずはないので、日本語での警告はするつもりは..]


2019-02-07 木で鼻をくくったような回答

第一フラグメント便乗攻撃についてJPRSに質問してみた

以下が JPRS の回答。特段、差し障りないようなのでそのまま公開します。EDNS0バッファサイズについて、ルート KSK キーロールオーバー騒ぎで出ていた 4096 バイトという値や、JPRS の『DNSがよくわかる教科書』に出てくる 1220 バイトという値は推奨値というわけではないということですね。危険性を承知のうえでこうした値を推奨するわけがありませんものね。やはり 512 バイトが安全なのでしょう。

追記: 木で鼻をくくっていない藤原さん

From: info@jprs.jp
To: "T.Suzuki" 
Cc: info@jprs.jp
Subject: Re: [JPRS info 352068] Re: 第一フラグメント便乗攻撃について
Date: Wed, 06 Feb 2019 16:05:19 +0900
 
中京大学
鈴木 様
                                        株式会社日本レジストリサービス
                                                      お客様サポート係
 
ご意見・ご指摘、ありがとうございました。
 
第一フラグメント便乗攻撃については、当社でも動向を注視しており、頂いた
ご意見・ご指摘を今後の取り組みの参考とさせていただきます。
 
EDNS0バッファサイズについてはそれぞれの環境・運用の中で判断されるものと
考えているため、現状ではJPRSとして特定の値を推奨するということは行って
いません。
 
何かございましたらお手数ですが、以下の窓口までお問合せください。
 
J┃P┃R┃S┃--------------------------------------------------------
━┛━┛━┛━┛
株式会社日本レジストリサービス  
                                
  お客様サポート係
    メールでのご質問  … info@jprs.jp
    お電話でのご質問  … 03-5215-8457(9:00-18:00 土日祝祭日は除く)
    よくあるお問合せ  … 
------------------------------------------------------------------------

以下が私の問い合わせメール。一部伏せ字にしています。

To: info@jprs.jp
Subject: 第一フラグメント便乗攻撃について
Date: Thu, 31 Jan 2019 15:50:21 +0900
Organization: Chukyo University
 
中京大学鈴木です。お世話になっております。
2つ質問があります。2.については回答を公開させて頂く可能性があります。
 
1. 
学生の卒業研究で第一フラグメント便乗攻撃の PoC システムが完成しました。
また付随して権威サーバが偽装 PMUTD に追従するかを判定するスキャナーも
出来ております。これで JPサーバを調べたところ■■■■■■■■■■■■
■■■■■■■■■■■■■■■■■■■■■■■■■■■■。5, 6年前には
明らかにされた脆弱性なので、現在この状態であることは承知の上での運用で
あろうことは推察されますので、特段秘密にしておく必要はないと思いますが、
いかがでしょうか。対策の予定があるようであれば考慮しますのでご連絡くだ
さい。また承知の上での運用ということであればその理由を教えて頂けますと
幸いです。(見掛け上脆弱にみえても実際の攻撃は成功しないことがわかって
いる等)
 
今のところ 2月16日 の DNS 温泉番外編で第一フラグメント便乗攻撃に関する
解説と JP あるいはその SLD のゾーンのキャッシュへの毒入れのデモを予定
しております。
 
2. 
また、現時点において JPRS 様が推奨する EDNS buffer size があれば教えて
ください。552 バイトを越える応答は第一フラグメント便乗攻撃に脆弱である
と考えておりますが、御社の EDNS buffer size へのお考えがありましたら、
ご教授くださいませ。
 
-- 
鈴木常彦 / 中京大学工学部
本日のツッコミ(全7件) [ツッコミを入れる]

Before...

tm [そうですね。短時間でのデモが可能な脆弱性ばかりではないということを伝えられるといいのでが、難しい。 長いと3日くら..]

tm [referral返答による毒盛は短縮の余地があるので、可能かもしれませんね。]

tm [JPRSのひとだった。JPRSも中はバラバラということでしょう。 draft-fujiwara-dnsop-fra..]


2019-01-17 知らないってのは恐い

DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために)

DNS温泉 番外編 (2019年2月) を有志たちが企画してくれました。DNS のなかでも特に理解者が少ないと思われる否定応答に焦点をあてた 2017年の DNS 温泉 4 (山代温泉) をベースとして、新たな知見を加えて理解が困難な DNSSEC の不存在証明の闇に迫ろうと思います。

基本的な話は私が引き受けさせてもらい、闇の部分については今年度の卒業研究で第一フラグメント便乗攻撃 (別名アイコラ攻撃) の PoC (Proof of Concept) システムを作ってくれた私のゼミの B4 太田健也くんに任せようと思います。危険性がよくわかるデモをご覧いただけることと思います。第一フラグメント便乗攻撃は理論的には可能でも実際の攻撃は難しいのではないかと思っている方には特に参加をお勧めします。

なお第一フラグメント便乗攻撃の PoC については春の情報処理学会全国大会でも発表予定ですが全国大会は時間が短いので、DNS温泉番外編のほうが詳しく聞いて頂けるかと思います。日本ではあまり注意喚起がなされていないのですが、これを知らないでいるのは怖いことだと思います。

追記: 当日の太田健也くんの発表「DNS第一フラグメント便乗攻撃 (アイコラ攻撃)」のスライドが公開されています。


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|

リンク

Copyright by T.Suzuki