e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english



La faille découverte par Dan Kaminsky a fait, fait encore et fera sûrement l'actualité pour quelque temps. Plusieurs chercheurs se penchent sur l'état des serveurs DNS en terme de déploiement des patchs. Le constat n'est globalement pas très rassurant.

Alors qu'en est-il des serveurs DNS des domaines « dz » ?
Certains diront déjà, avec assurance et sans aucune vérification, que le parc de ces DNS est « pourri » :-) .... en se basant sur l'état de sécurité général des sites algériens.

Difficile de les contredire :-)

Dans ce billet, j'ai essayé de recueillir des « faits » qui peuvent « relativement » donner un état de nos serveurs DNS. Je dis « relativement », parce que dans cette première partie, je m'intéresse à certains serveurs uniquement (essentiellement universitaires). Cependant, tout les tests ont été validés manuellement (pas de script exécutant automatiquement les tests) ce qui donne un certain crédit aux résultats....au moins pour moi :-)

Concrètement, j'ai fait une recherche sur les sites web des universités ou centres universitaires Algériens. Parmi les sites existant, 29 utilisent leurs propres serveurs DNS, les autres utilisent ceux du Cerist.
En plus, j'ai testé les serveurs appartenant à quelques fournisseurs de services.

Pour chaque serveur DNS trouvé, j'ai récupéré la version du service directement quand c'est possible en la corellant avec le résultat d'un outil de finger-printing DNS (fpdns) :

dig @ServDNS txt chaos version.bind
fpdns ServDNS

Un autre test consistait à vérifier si le serveur acceptait la récursivité. Enfin, le dernier test concerne la célèbre faille Kaminsky en utilisant le service du site « dns-oarc.net » :

dig +short @ServDNS porttest.dns-oarc.net TXT

Les résultats, que vous trouverez ici, sont classés selon l'ordre croissant des versions du service DNS.

Alors quelques remarques :

1- La médaille d'or revient à l'université de Annaba (ns.univ-annaba.dz). C'est LE SEUL serveur récursif DNS patché (porttest donne Great) au moment où j'ai effectué les tests. En plus, c'est le deuxième plus récent (version 9.3.4-P1.1) de la liste, après ns.eepad.dz. Mais pourquoi en fait récursif ? Ils sont généreux les benois :-)

2- 73,17 % (30/41) des serveurs sont récursif...et 96,66 % (29/30) de ceux récursifs sont vulnérables à la dernière faille de Kaminsky.

3- Tout les serveurs sont sous BIND, sauf UN, celui de l'université de Guelma (serveur.univ-guelma.dz), il est en « Microsoft Windows DNS 2000 » ....ce n'est pas très sérieux !

4- Quatre (04) serveurs ont modifié le fichier de configuration BIND pour « cacher » la version

- Les plus « intelligents » sont les deux serveurs de nedjma avec « ATTEMPT LOGGED! » (tentative enregistrée) :-)
Mais bon, il faudrait peut-être commencer par mettre à jour les serveurs, actuellement entre 8.3.0-RC1 et 8.4.4 d'après l'outil fpdns. Ont-ils modifié le comportement de BIND pour induire en erreur l'outil ?!! Un bon point tout de même, ils ne sont pas récursifs.
- Le serveur de l'APS (hogar.aps.dz) répond par « unknown », mais fpdns dit qu'il est dans l'intervalle 9.2.0rc7–9.2.2-P3. En plus, il semble qu'il forwarde les requêtes à ns1.tda.dz !
- Le serveur de TDA (ns2.tda.dz) n'a pas du tout le sens de la communication :-), sa réponse est « ». fpdns croit qu'il est dans 9.2.3rc1--9.4.0a0

Dans un prochain billet, je vais essayer d'avoir un échantillon plus important en incluant les résultats de recherche sur Google de tous les sites « dz ». L'analyse sera totalement automatisée...mais ça risque d'avoir quelques erreurs.

8 commentaires

  1. Anonyme  

    Je ne suis pas expert dans le domaine mais j'ai cru comprendre que dans le principe même de la faille la non-récursivité des réponses n'est pas un obstacle quant à son éxploitation (a condition bien sûr de connaitre ses moindres subtilités)? Mais je crains fort que nos serveurs nationaux aient du mouron à se faire sauf si l'attaque vient de l'éxterieur ! Mais bon, qui voudrait nous attaquer ;-)
    -----------------------------------------
    ~~ Badrh0 et son potentiel nul ;-) ~~

  2. Anonyme  

    Salut,
    Joli analyse :)
    Le site de univ-annaba est hébergé chez Infomaniac en Suisse (la honte!) c'est pour ça qu'il est securisé XD

  3. KT  

    Beau travail et bonne continuation, Bravo.
    NB: le nom du fichier à télécharger commence par MAE, je sais que c'est aléatoire, mais franchement quelle coïncidence !!!

  4. Anonyme  

    Excellente analyse encore une fois :) J'attends avec impatience la suite :)

    Salutations amicales

  5. SecDZ - Salah Nadir  

    @anonyme (Badrh0)

    Oui, la recursivité n'est pas un déterminant crucial dans l'exploitation de la faille. Si on peut obliger le serveur DNS non récursif à venir sur notre domaine (en utilisant ses utilisateurs internes, le serveur de messagérie, ....), alors on peut exploiter la faille. Et même l'aspect aléatoire du port source et de l'identifiant de la requête (POOR, GOOD ou GREAT) ne fait que rendre difficile l'attaque, mais pas impossible. En fait, c'est le design même du DNS (protocole et infrastructure) qui est en cause...mais ça c'est une autre histoire.

    @annabi

    Merci pour l'info, j'ai pas vérifier l'hébergeur...et je viens de voir qu'il me redirige automatiquement sur www.univ-annaba.org !!!

    @kt

    Merci...pour le "MAE", j'ai pas compris !!

    @ButterflyOfFire

    Mon probèlem avec la suite, c'est comment parser automatiquement les résultats de Google(près de 402 000) sans devoir coder un programme pour le faire (par des commandes bash uniquement). Pour le moment j'ai pas vraiment le temps...mais si quelqu'un à une idée il peut soit la poster ici ou me contacter par mail...et bien sûr il sera cité :)

  6. Anonyme  

    Merci pour l'article.
    Pour ceux que ça intéresse, voici un article très intéressant sur la faille DNS Kaminsky:
    http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html

  7. SecDZ - Salah Nadir  

    Merci OstenX, ce site est déjà dans mes liens favoris :)...il ne publie pas bcp, mais quand-il le fait c'est tjs excellent.

  8. Unknown  

    To Annabi le .org est heberge chez infomanick mais le .dz si tu verfie bien c'est une ip algerienne

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)