La faille découverte par Dan Kaminsky a fait, fait encore et fera sûrement l'actualité pour quelque temps. Plusieurs chercheurs se penchent sur l'état des serveurs DNS en terme de déploiement des patchs. Le constat n'est globalement pas très rassurant.
Alors qu'en est-il des serveurs DNS des domaines « dz » ?
Certains diront déjà, avec assurance et sans aucune vérification, que le parc de ces DNS est « pourri » :-) .... en se basant sur l'état de sécurité général des sites algériens.
Difficile de les contredire :-)
Dans ce billet, j'ai essayé de recueillir des « faits » qui peuvent « relativement » donner un état de nos serveurs DNS. Je dis « relativement », parce que dans cette première partie, je m'intéresse à certains serveurs uniquement (essentiellement universitaires). Cependant, tout les tests ont été validés manuellement (pas de script exécutant automatiquement les tests) ce qui donne un certain crédit aux résultats....au moins pour moi :-)
Concrètement, j'ai fait une recherche sur les sites web des universités ou centres universitaires Algériens. Parmi les sites existant, 29 utilisent leurs propres serveurs DNS, les autres utilisent ceux du Cerist.
En plus, j'ai testé les serveurs appartenant à quelques fournisseurs de services.
Pour chaque serveur DNS trouvé, j'ai récupéré la version du service directement quand c'est possible en la corellant avec le résultat d'un outil de finger-printing DNS (fpdns) :
dig @ServDNS txt chaos version.bind
fpdns ServDNS
Un autre test consistait à vérifier si le serveur acceptait la récursivité. Enfin, le dernier test concerne la célèbre faille Kaminsky en utilisant le service du site « dns-oarc.net » :
dig +short @ServDNS porttest.dns-oarc.net TXT
Les résultats, que vous trouverez ici, sont classés selon l'ordre croissant des versions du service DNS.
Alors quelques remarques :
1- La médaille d'or revient à l'université de Annaba (ns.univ-annaba.dz). C'est LE SEUL serveur récursif DNS patché (porttest donne Great) au moment où j'ai effectué les tests. En plus, c'est le deuxième plus récent (version 9.3.4-P1.1) de la liste, après ns.eepad.dz. Mais pourquoi en fait récursif ? Ils sont généreux les benois :-)
2- 73,17 % (30/41) des serveurs sont récursif...et 96,66 % (29/30) de ceux récursifs sont vulnérables à la dernière faille de Kaminsky.
3- Tout les serveurs sont sous BIND, sauf UN, celui de l'université de Guelma (serveur.univ-guelma.dz), il est en « Microsoft Windows DNS 2000 » ....ce n'est pas très sérieux !
4- Quatre (04) serveurs ont modifié le fichier de configuration BIND pour « cacher » la version
- Les plus « intelligents » sont les deux serveurs de nedjma avec « ATTEMPT LOGGED! » (tentative enregistrée) :-)
Mais bon, il faudrait peut-être commencer par mettre à jour les serveurs, actuellement entre 8.3.0-RC1 et 8.4.4 d'après l'outil fpdns. Ont-ils modifié le comportement de BIND pour induire en erreur l'outil ?!! Un bon point tout de même, ils ne sont pas récursifs.
- Le serveur de l'APS (hogar.aps.dz) répond par « unknown », mais fpdns dit qu'il est dans l'intervalle 9.2.0rc7–9.2.2-P3. En plus, il semble qu'il forwarde les requêtes à ns1.tda.dz !
- Le serveur de TDA (ns2.tda.dz) n'a pas du tout le sens de la communication :-), sa réponse est « ». fpdns croit qu'il est dans 9.2.3rc1--9.4.0a0
Dans un prochain billet, je vais essayer d'avoir un échantillon plus important en incluant les résultats de recherche sur Google de tous les sites « dz ». L'analyse sera totalement automatisée...mais ça risque d'avoir quelques erreurs.
19 août 2008 à 23:55
Je ne suis pas expert dans le domaine mais j'ai cru comprendre que dans le principe même de la faille la non-récursivité des réponses n'est pas un obstacle quant à son éxploitation (a condition bien sûr de connaitre ses moindres subtilités)? Mais je crains fort que nos serveurs nationaux aient du mouron à se faire sauf si l'attaque vient de l'éxterieur ! Mais bon, qui voudrait nous attaquer ;-)
-----------------------------------------
~~ Badrh0 et son potentiel nul ;-) ~~
20 août 2008 à 00:36
Salut,
Joli analyse :)
Le site de univ-annaba est hébergé chez Infomaniac en Suisse (la honte!) c'est pour ça qu'il est securisé XD
20 août 2008 à 02:02
Beau travail et bonne continuation, Bravo.
NB: le nom du fichier à télécharger commence par MAE, je sais que c'est aléatoire, mais franchement quelle coïncidence !!!
20 août 2008 à 08:48
Excellente analyse encore une fois :) J'attends avec impatience la suite :)
Salutations amicales
20 août 2008 à 20:54
@anonyme (Badrh0)
Oui, la recursivité n'est pas un déterminant crucial dans l'exploitation de la faille. Si on peut obliger le serveur DNS non récursif à venir sur notre domaine (en utilisant ses utilisateurs internes, le serveur de messagérie, ....), alors on peut exploiter la faille. Et même l'aspect aléatoire du port source et de l'identifiant de la requête (POOR, GOOD ou GREAT) ne fait que rendre difficile l'attaque, mais pas impossible. En fait, c'est le design même du DNS (protocole et infrastructure) qui est en cause...mais ça c'est une autre histoire.
@annabi
Merci pour l'info, j'ai pas vérifier l'hébergeur...et je viens de voir qu'il me redirige automatiquement sur www.univ-annaba.org !!!
@kt
Merci...pour le "MAE", j'ai pas compris !!
@ButterflyOfFire
Mon probèlem avec la suite, c'est comment parser automatiquement les résultats de Google(près de 402 000) sans devoir coder un programme pour le faire (par des commandes bash uniquement). Pour le moment j'ai pas vraiment le temps...mais si quelqu'un à une idée il peut soit la poster ici ou me contacter par mail...et bien sûr il sera cité :)
22 août 2008 à 15:55
Merci pour l'article.
Pour ceux que ça intéresse, voici un article très intéressant sur la faille DNS Kaminsky:
http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
22 août 2008 à 22:17
Merci OstenX, ce site est déjà dans mes liens favoris :)...il ne publie pas bcp, mais quand-il le fait c'est tjs excellent.
25 avril 2009 à 16:30
To Annabi le .org est heberge chez infomanick mais le .dz si tu verfie bien c'est une ip algerienne