今、話題の、、、いや、もはや前野さんと私だけが問題にしている感のある DNS の毒入れについて、「脆弱性のある名前」(JPRSは未解説)の簡易検査ツールを作成し公開しました。
Pandora-poisoning Vulnerability Checker: http://snoopy.e-ontap.com/pandora/再帰検索の過程でNSキャッシュが入らなさそうな名前を抽出しています。
NSキャッシュが入らないということは委任インジェクションが容易である
ということを意味します。
(www.example.jp というような FQDN なホスト名もほとんどのケースで脆弱と判定します)
判定ページの簡単な説明
サンプルとして co.uk, co.jp, foo.bar.internot.jp などを入れてみると問題を理解できるかもしれません。大学によくあるパターンですが、www.gakubu.sample.ac.jp などサブドメイン名の委任元サーバが委任先のコンテンツミラー (セカンダリ) サーバを引き受けているケースが問題となりますので、サブドメイン名を検査してみることをおすすめします。
なお、脆弱判定されたから必ず毒が入りやすいとは限りません。それぞれのキャッシュサーバにおいてその名前がアクセスされる状況にもよります。リスクの判断には問題を良く理解する必要があります。
それにしても JPRS や JPCERT/CC、IPA などはいつになったら注意喚起と解説を出してくださるのでしょうね。
Copyright by T.Suzuki
なぜJPRSに注意喚起を期待するのでしょう。この半年の対応を見ていれば、期待するのはむなしいと思うのですが。
誰も何も期待していなさそうだし、まあ私くらいは期待しておいてあげないと。
沈黙しているのも、JPRSだけではない。この件はJPCERTが警告するべき話でしょう。。<br>JPRSはもともと自分たちの利益のために、「重複」発信しているのだろうし。
キャッシュが上書きされるケースについての警告はやらないのでしょうか。<br>(多すぎて、わけがわからなくなるという事情はあるでしょうけど)
キャッシュ毒盛にかぎらず、DNS関連の脆弱性を話題にするのはJPRSの広報担当くらいですね。あとはJPNICか。<br><br>みなさん、DNSを議論するのは避けているようですが、<br>重大な問題が発覚してからでは、遅いでしょう。<br><br>普段のコミュニケーションが重要とか大切という話もでてましたね。
議論しづらい業界の雰囲気があるのでしょう。お互い痛いところがあるみたいな、、、
自分のところの問題点を隠すというのでは、まともな議論はできませんね。<br><br>業界全体で、客に対して不誠実だということになりましょう。
9月も終わろうというのに、以前よりも情報がでてこなくなりましたね。<br>4月に想像したうちでも最悪のシナリオが現実になったようです。<br><br>今後、JPRSとしてはキャッシュ毒盛には危険はないという態度を続けるのでしょう。<br>DNSSECを使わないとDNSを信用するのは危険という警告もしないようだから。