Onderwerp: DNS bitflips

Ik kwam het volgende tegen over DNS bitflip en deel dit graag met jullie: http://www.security-assessment.com/f...icon7_2013.pdf.

Leuk, maar wel al een beetje oud

Misschien oud maar het is nog steeds van toepassing. Mocht je vreemde dingen bij het resolven van DNS tegenkomen dan is het interessant dat je hier kennis van hebt.

True, dat is zo, maar het is vaak erg lastig te reproduceren, dus je bent dan toch genoodzaakt om alle andere problemen na te kijken. Mocht je niks vinden kun je het dan alsnog op een bitflip gooien

Oorspronkelijk geplaatst door systemdeveloper

True, dat is zo, maar het is vaak erg lastig te reproduceren, dus je bent dan toch genoodzaakt om alle andere problemen na te kijken. Mocht je niks vinden kun je het dan alsnog op een bitflip gooien

Allerhande andere crashes kun je evenzeer op 'kosmisch deeltje' gooien, maar het is wel _echt_ de last resort verklaring.

Ik zou wel een heel complete lijst van uitgesloten oorzaken willen zien voordat ik een 'bit flip' verklaring van iemand serieus neem.

Oorspronkelijk geplaatst door visser

Allerhande andere crashes kun je evenzeer op 'kosmisch deeltje' gooien, maar het is wel _echt_ de last resort verklaring.

Ik zou wel een heel complete lijst van uitgesloten oorzaken willen zien voordat ik een 'bit flip' verklaring van iemand serieus neem.

Hahaha, vóór of ná 'voodoo' ?

Maar er zit wel een exploit mogelijkheid in het dns verhaal op basis van bitflipjes. Maar dat betekent dat je a) een x aantal domein moet hebben waarvan de naam 1 bit afwijkt van de werkelijke naam en b) het betreffende domein moet heel erg veel traffic hebben. (Of ja, verschillende bezoekers om genoeg dns requests te krijgen).
Heel soms zie je dan een legitiem request op het afwijkende domein komen en dan moet je natuurlijk ook nog in staat zijn om dit direct te kunnen exploiten.
Als hoster zelf zul je die request dus niet eens op je server krijgen en wat ik er een paar jaar geleden over las is dat het vaker voorkomt vanaf de thuisroutertjes die een steekje laten vallen.

In embedded spul komt het wat vaker voor omdat daarin bv. heel vaak eeproms worden gebruikt van het goedkoopste soort (10k keer schrijven en het ding is dood). Als daar een bit of een byte ergens in omvalt is er meestal helemaal niks van errorcorrectie of uberhaupt een checksum controle aanwezig is.

Oorspronkelijk geplaatst door systemdeveloper

Hahaha, vóór of ná 'voodoo' ?

Maar er zit wel een exploit mogelijkheid in het dns verhaal op basis van bitflipjes. Maar dat betekent dat je a) een x aantal domein moet hebben waarvan de naam 1 bit afwijkt van de werkelijke naam en b) het betreffende domein moet heel erg veel traffic hebben. (Of ja, verschillende bezoekers om genoeg dns requests te krijgen).

Het is toch haast hetzelfde als typo-squatten ?
Met als voordeel voor typo squatten dat je model meer gericht is op de site wiens bezoekers je wilt hebben.

Heel soms zie je dan een legitiem request op het afwijkende domein komen en dan moet je natuurlijk ook nog in staat zijn om dit direct te kunnen exploiten.
Als hoster zelf zul je die request dus niet eens op je server krijgen en wat ik er een paar jaar geleden over las is dat het vaker voorkomt vanaf de thuisroutertjes die een steekje laten vallen.

In embedded spul komt het wat vaker voor omdat daarin bv. heel vaak eeproms worden gebruikt van het goedkoopste soort (10k keer schrijven en het ding is dood). Als daar een bit of een byte ergens in omvalt is er meestal helemaal niks van errorcorrectie of uberhaupt een checksum controle aanwezig is.

Nog een voorspelling : correlatie van 'hits' vanaf plekken waar het zomer is. (meer bit errors door warmte).
Tweede meer tentatieve voorspelling : correlatie van 'hits' uit regio's met oudere infrastructuur (bit errors bij spannings dips )

m.i. een nogal marginaal onderwerp. Maar goed, elk paper/presentatie is een stukje exposure.

Oorspronkelijk geplaatst door visser

Het is toch haast hetzelfde als typo-squatten ?
Met als voordeel voor typo squatten dat je model meer gericht is op de site wiens bezoekers je wilt hebben.

Niet helemaal. In dit geval typt een bezoeker de JUISTE url in, maar krijgt ie een ander ip terug omdat het pas bij het resolven fout gaat, dus de bezoeker weet dan niet dat ie verkeerd zit.

Oorspronkelijk geplaatst door systemdeveloper

Niet helemaal. In dit geval typt een bezoeker de JUISTE url in, maar krijgt ie een ander ip terug omdat het pas bij het resolven fout gaat, dus de bezoeker weet dan niet dat ie verkeerd zit.

Klopt. De reden waarom ik dit kreeg is omdat ik van iemand door kreeg dat zijn root servers incorrect waren en dat is het gevolg van bitflips. De servers die hij kreeg staat ook in de lijst met servers die de onderzoeker gebruikt. Pas als je op DNS niveau gaat kijken dan kan je verwijzingen tegenkomen dat je hier het slachtoffer van bent. De URL kan correct zijn en met behulp van een brakke SSL instantie kan je legitiem bank verkeer over je eigen servers leiden (om maar wat te noemen).