Posts

không phải cứ có lỗi là vá

trong vụ lỗi của máy chủ DNS, tôi thấy nhiều bạn cứ thắc mắc tại sao tôi nói tự vì kiểm tra là phải kiểm tra xem có người sử dụng dịch vụ của máy chủ DNS có được bảo vệ an toàn hay không, còn việc vá hay không vá là việc tính sau..

cái ý tưởng "có lỗi thì phải vá" thường xuất hiện ở một số bạn nghĩ là mình hiểu về bảo mật nhưng sự thật thì kô hiểu được bao nhiêu. bản thân tôi cũng đã phải mất một thời gian dài mới ngộ được ra vấn đề này, thôi thì hôm nay chia sẻ ở đây.

"có lỗi trong phần mềm tôi đang sử dụng, nên tôi cập nhật nó", một lý lẽ xem ra rất thuyết phục, nếu như không có các ràng buộc từ phía business.

mục tiêu cốt lõi và cuối cùng của một hệ thống không phải là để vá hết lỗi, mà là để phục vụ những yêu cầu của người sử dụng, như họ mong đợi, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365o đúng thiết kế ban đầu của hệ thống.

đôi khi, chính cái ràng buộc, chính cái yêu cầu cốt lõi này, làm cho chúng ta phải chấp nhận vận hành một hệ thống, mà trong đó, chúng ta biết là có lỗi có thể bị khai thác. đối …

tool kiểm tra dns của bkis có thể trả về kết quả sai

tranh luận một hồi với các bác ở bkis, tôi phát hiện ra được vài chỗ mà tool của các bác bkis sẽ làm sai, false negative hay false positive:

1. client --> A --> B --> Authorative DNS servers

* A là dns cache thuộc quyền kiểm soát của sysadmin, được cấu hình để forward recursive query đến B, một dns cache nằm ngoài tầm của sysadmin.

* false negative sẽ xảy ra khi A đã vá, nhưng B chưa vá. Công cụ của bkis sẽ báo là an toàn, nhưng thực tế tất cả client sử dụng A đều đứng trước nguy cơ bị tấn công.

* false positive sẽ xảy ra khi A không vá, nhưng B đã vá. Công cụ của bkis sẽ báo là không an toàn, yêu cầu vá (không phải lúc nào cũng muốn vá là vá :-p), nhưng thực tế tất cả client sử dụng A đều an toàn trước loại tấn công này.

Trong cả hai trường hợp, cách làm của tôi đưa ra đều thông báo chính xác là bạn có đang an toàn hay không an toàn (lưu ý là nó quan tâm đến người sử dụng, bất kể DNS có được vá hay chưa vá). Và nó áp dụng được cả cho người dùng bình thường lẫn sysadmin.

2. clie…

Hindsight analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infamous DNS bug

If you read Dan Kaminsky's researchs over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few years, you'd probably know that Dan knows many DNS tricks. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNAME trick that Dan mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wired interview. He has talked about this trick back to 2007 as below:
1. CNAME Records: DNS Aliases

- Instead of returning an address, return what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Canonical", or Official Name was, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address of that Canonical Name

- If you are allowed to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resolver for that canonical name, your additional record overrides whatever's already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache, even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TTL hasn't expired yet

* It's not a bug.

* Works against most, but not actually all name servers

2. Demo

$ dig 1.foo.notmallory.com
;; ANSWER SECTION:
1.foo.notmallory.com. 120 IN CNAME bar.foo.notmallory.com
bar.foo.notmallory.com. 120 IN A 10.0.0.0

$ dig bar.foo.notmallory.com
bar.foo.notmallory.com. 111 IN A 10.0.0.0

$ dig 2.foo.notmallory.com
2.foo.notmallory.com. 120 IN …