-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 14/07/08, Carlos E. R. escribió:
La explicación completa y detallada del agujero y posible ataque no está. Leí que lo explicarían en una conferencia del tipo que lo descubrió, prevista para agosto.
En agosto dirán cómo explotarlo, sí, en la conferencia "Black Hat," creo.
Es que fijate la frase: ] Unfortunately we do not have details about ] Kaminsky's attack and have to trust the statement that a random UDP ] source-port is sufficient to stop it. No conocen los detalles del ataque ni de la solución.
Pero el fallo dicen que es antiguo e inherente al protocolo dns, que se solucionaría utilizando cifrado para distinguir entre una petición auténtica o falsa (dnssec).
Sí, pero exige activar cifrado en todas las consultas de los grandes servidores de dns (los de los proveedores con caché, no los raiz) hacia todos los posibles servidores a los que preguntan, incluyendo todas las empresas y particulares con dominio y servidor dns de tal dominio. ¿Es viable eso? Tendrías que automatizar un proceso para intercambio de claves fiablemente, y eso creo que sólo es posible con una entidad de manejo de llaves como las que se usan para servidores de correo o web (ssl?), y esas llaves tienen un coste elevado. Dicho sea sin conocer como funciona dnssec, o sea, que puedo estar metiendo la pata hasta el fondo :-)
¿Mande? ¿Y eso? Lo único que se me ocurre es que este correo se me quedó sin salir varios dias, y por eso lo ves hoy. ¿Te refieres a eso?
Eso será :-)
Ah, vale :-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIe6JbtTMYHG2NR9URAlBXAJ4oI7nCoNuawWNyZovvI7lld24ffQCfXBZO vUlFq3K4zmDxpxw+cEuneoY= =QJ2a -----END PGP SIGNATURE-----