タグ

DNSとsecurityに関するklim0824のブックマーク (44)

  • KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog

    DNS趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam

    KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
  • DNS over HTTPS (DoH) の動向 - セキュリティは楽しいかね? Part 2

    TL;DR 主要ブラウザのサポートによって DoH の普及がますます進みそう DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い 一般ユーザにはまずは使ってみることをオススメする (個人の意見です) 企業内では現状はブロックすることをオススメする (個人の意見です) 目次 TL;DR 目次 動向整理 DoH 推進派 DoH 反対派 (おまけ) DoH サポート状況まとめ Browser vendors Firefox (Mozilla) Chrome (Google) Windows (Microsoft) Application / Tool 1.1.1.1 (Cloudflare) cloudflared DOH Proxy Curl goDoH DoHC2 DNSBotnet Publicly available servers Spec Time

    DNS over HTTPS (DoH) の動向 - セキュリティは楽しいかね? Part 2
  • ついにFirefoxがDNSとの通信を暗号化する「DNS over HTTPS」をデフォルトで有効にすると発表

    ウェブブラウザのFirefoxを開発するMozillaは、以前からブラウザによるDomain Name System(DNS)との通信を暗号化してプライバシーを強化する「DNS over HTTPS(DoH)」を実装する計画を進めてきました。2020年2月25日、Mozillaは今後数週間で、アメリカ国内のFirefoxユーザーに対してDoHをデフォルトで有効にすると発表しました。 Firefox continues push to bring DNS over HTTPS by default for US users - The Mozilla Blog https://blog.mozilla.org/blog/2020/02/25/firefox-continues-push-to-bring-dns-over-https-by-default-for-us-users/ Fire

    ついにFirefoxがDNSとの通信を暗号化する「DNS over HTTPS」をデフォルトで有効にすると発表
  • Firefoxよ、DoHをオフにしろ、今すぐ

    UNGLEICH BLOGより。 Mozillaが使用しているときに行う必要があること... 約1年前、如何にMozillaの新しいDNS解決が危険であるかについての投稿を書きました。それ以来、この問題について活発で懸念のある議論があり、Mozillaが正しい選択をし、間違った方向に進まないことを望んでいましたが、私たちの心配は差し迫った現実になりつつあります。Mozillaは9月下旬から米国でDoH(DNS-over-HTTPS)を展開するとブログで発表しました。私たち全員にとって、これは多くのレベルで非常に悪いことです。いくつかのポイントを見てみましょう。 なぜ、DoHは悪いのですか? DoHは、FirefoxがすべてのDNSトラフィックをCloudflareに集中させ、すべてのユーザーからのトラフィックを1つの組織に送信することを意味します。 それはどういう意味がありますか? これは

    Firefoxよ、DoHをオフにしろ、今すぐ
  • 黒塗りのDNS

    黒塗りのDNS (萎縮編) ~共用サービスの闇~ Apr 23, 2019 ssmjp E-ONTAP.COM 鈴木常彦 (@tss_ontap) ある日の我が職場 (恥) 私(TEL) 「m.chukyo-u.ac.jp 見てみれ! 中華料理屋に乗っ取られてるぞ www」 情報システム 「え!...これは...調べます...」 後日 「レンタルサーバ返した後 A レコード削除申請がなかったようです!」 危険な忘れ物 - Floating Domainname 借りたサーバ (IPアドレス) にリソースレコードを向けたまま解約してはいけない Subdomain Takeover Attack 放置された CNAME の先は狙って再登録されうる、、、 old-service.example.jp IN CNAME orphan.cdn.example.com fan.football.son

  • 鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した

    4月23日(火)に開催された 「#ssmjp 2019/04 ~DNSの話を聞く会~」に「Outputなら任せてください枠」で参加しましたので、講演内容からとくにやばい(?)内容と思われる@tss_ontap(鈴木常彦=浸透言うな先生)の「黒塗りの DNS (萎縮編)」から、「共用レンタルサーバにおけるメールの窃盗」について紹介します。スライドは公開されています。 サマリ レンタルサーバーからメールを送信する場合、悪意の第三者に、特定のドメインに対するメールを横取りされるリスクがある 攻撃手法 攻撃者は、レンタルサーバーを契約(お試しなどでも可能)して、攻撃対象のドメイン名(ここではchukyo-u.ac.jp…中京大学のドメイン名を用いる)を登録する その際に、当該ドメイン名の権利を有している必要はない(権利があれば正当にメールを受信できるので攻撃の必要がない) これだけ なぜメールが横

  • 不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog

    2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決

    不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog
  • DNS over HTTPSの必要性について - Qiita

    なぜ今までのDNSでは問題があるのか インターネット上の通信の多くは、ブラウザを利用したウェブによるものです。 セキュリティ向上のため、GoogleやFireFoxといった大手ブラウザベンダーが平文通信であるHTTPから暗号通信であるHTTPSへの移行を推奨し、盗聴・改竄・なりすましといった問題を解決することが出来ます。 しかしながら、そのHTTPS通信をする前のDNSによるドメイン解決は暗号化されておらず盗聴でアクセスするホスト名を把握される、なりすましで偽の応答を返されるといった可能性があります。 それを防ぐための方法の1つが、DNS over HTTPSです。 DNS over HTTPSとは 今までDNSサーバ(フルリゾルバ)の(主に)UDPポート53番に対して行われていたDNSによる名前解決を、TCPポート443番に対するHTTPS(HTTP/2 over TLS)通信上で行うプ

    DNS over HTTPSの必要性について - Qiita
  • Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗

    Googleが設立し、Alphabet傘下の子会社として運営されているテクノロジインキュベーターのJigsawが米国時間10月3日、ISPレベルのDNS操作への対抗策として、DNSクエリを暗号化できるAndroidアプリ「Intra」をリリースした。 DNS操作は、独裁的な政権や悪質なISPがネット検閲に用いる最も一般的な手法の1つで、ニュースサイト、情報ポータル、ソーシャルメディアプラットフォーム、望ましくないソフトウェアなどへのアクセスを遮断するのに利用されている。 Intraは、独裁政権が支配する国のISPなど、国家レベルの監視能力を備えた第3者からDNSのトラフィックを隠すことで、DNSが操作されるのを防ぐ。 技術的に見ると、Intraは「DNS over HTTPS」(DoH)というまだ新しいテクノロジを実装している。この技術はまもなく、Internet Engineering

    Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗
  • ルーターのDNS設定改ざん攻撃、Androidに加えiOSやPCでも被害 ルーターのパスワード変更必須、パスワード強度にも注意

    ルーターのDNS設定改ざん攻撃、Androidに加えiOSやPCでも被害 ルーターのパスワード変更必須、パスワード強度にも注意
  • Cloudflareが1.1.1.1で超高性能DNS始めたし、いっちょ俺のパソコンもDNS over HTTPSしてみる - Qiita

    Cloudflareが1.1.1.1で超高性能DNS始めたし、いっちょ俺のパソコンもDNS over HTTPSしてみる はいど〜も!バーチャルYoutuberのおのかちおです! 先日、Cloudflareが 1.1.1.1:53 でパブリックDNSを始めたことが話題になってますよね。Googleが8.8.8.8でやってるあれと同じです。 しかもこれ、超速いんですよね。自分の手元からだと、8.8.8.8の10倍速い。 1.1.1.1の主な特徴 ログを保管しない。破棄する。 IPv6 対応 DNSSEC の対応 DNS over HTTPS の対応 DNS over SSL の対応 … IPアドレス 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 覚えやすくていいですね。 DNS over HTTPS DNS over HT

    Cloudflareが1.1.1.1で超高性能DNS始めたし、いっちょ俺のパソコンもDNS over HTTPSしてみる - Qiita
  • ネット利用履歴をISPに残さない新ツール「1.1.1.1」--接続も高速化

    オンラインセキュリティへの懸念が高まる昨今、簡単な操作で自分のデータをよりセキュアに保つ魔法のスイッチがあればいいのに、と願う人もいるだろう。 Cambridge AnalyticaがFacebookのユーザーデータを不正使用していたことが最近になって発覚したが、消費者プライバシーに関する怒りを買った出来事はそれ以前にもいくつもあった。例えば、億単位の人々に影響した信用調査会社Equifaxへのハッキングなどだ。 インターネットユーザーは、自分たちが訪れた全てのウェブサイトに関する膨大な情報をインターネットサービスプロバイダー(ISP)が蓄積していることに、にわかに気付きつつある。人々は不満を感じているが、これは対処のしようがないことと思われている。 そして、Cloudflareが新ツール「1.1.1.1」で始めようとしていることは、実質的に「魔法のスイッチ」だ。Cloudflareが米国

    ネット利用履歴をISPに残さない新ツール「1.1.1.1」--接続も高速化
  • (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月31日更新)

    --------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月31日更新) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - 株式会社日レジストリサービス(JPRS) 初版作成 2015/07/29(Wed) 最終更新 2015/07/31(Fri) (PoCが公開され、日国内において被害事例が報告された旨を追加) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可

  • インターノット崩壊論者の独り言 - わかる人にはわかる - DNS 毒入れ疑似体験

    最近の日記 2019-02-18 1. Measures against cache poisoning attacks using IP fragmentation in DNS 2019-02-07 1. 第一フラグメント便乗攻撃についてJPRSに質問してみた 2019-01-17 1. DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) 2019-01-16 1. 浸透とやらを待っている人は何を待っているのか? 2018-11-04 1. Unbound を安全にしよう 2018-10-31 1. これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? 2018-08-27 1. DNS 温泉 5 無事終了 2018-04-08 1. 8.8.8.8 に加え 1.1.1.1 を用いたアクセスも拒否させて頂きます。 2017-12-13

  • 家庭用ルータのDNS設定変更を行う不正プログラムを確認 |

    家庭用ルータを悪用して個人情報を窃取することは可能ですが、この事実は、まだほとんどの人に知られていません。サイバー犯罪者は、「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」を利用することで、あまり目立たないルータ関連のネットワークさえも、有効な手口として駆使する手立てを見出したようです。 トレンドマイクロでは、DNSサーバに不正な設定が施された状態で出荷される可能性のあるルータの事例はすでに確認しています。しかし今回の事例は、DNSチェンジャーという不正プログラムが、ルータおよびその DNS設定を変更します。これにより、正規の銀行関連サイトもしくは攻撃者に指定されたその他の Webサイトを閲覧した場合、ユーザは、この不正プログラムによって不正な Webサイトに誘導される可能性があります。そして誘導先の Webサイトでサイバー犯罪者により、ユーザのアカウント認

  • Check your router security | F‑Secure

    Check your router securityThe F‑Secure Router Checker is currently receiving a refresh. In the mean­time, we would like to offer you tips on how to optimize your router security. The F‑Secure Router Checker is currently receiving a refreshWe’ve been hard at work during the past few months to improve F‑Secure Router Checker free tool. We want to ensure that we offer the best user experience and qua

    Check your router security | F‑Secure
  • Androidにオープンリゾルバ問題発覚、携帯各社が注意喚起

    信頼できないネットワークでテザリングを利用した場合に、端末がDDoS攻撃の踏み台にされてしまう恐れがある。 Android OSに「オープンリゾルバ」と呼ばれる状態になる問題が見つかり、端末が「DNSリフレクター」と呼ばれる手法によってDDoS(分散型サービス妨害)攻撃に加担させられてしまう恐れがあることが分かった。情報処理推進機構(IPA)や携帯電話各社などが3月27日に発表し、ユーザーに対応を呼び掛けている。 オープンリゾルバとは、不特定の相手からのDNSの問い合わせ(WebサイトなどへアクセスするためにURLなどの文字列とIPアドレスの照合を依頼すること)に対して、最終的な結果が得られるまで何度も照合などの作業を繰り返し、問い合わせ相手に結果を返信するコンピュータ。IPAによれば、Android 4.3よりも前のバージョンを搭載する端末を信頼できないネットワークに接続してテザリング機

    Androidにオープンリゾルバ問題発覚、携帯各社が注意喚起
  • Googleアナリティクスを悪用して広告とポルノをウェブに挿入する攻撃方法が判明

    By Sean MacEntee 多くの家庭でも使われているルータのバグを悪用し、来は想定されていない広告やポルノコンテンツを配信する手法が明らかにされました。悪用手法の内容はDNS Changerと呼ばれるマルウェアを使ってルータにキャッシュ保存されるDNS設定を不正に書き換え、ページ内で使われているGoogle Analyticsのタグを乗っ取る仕組みになっています。 Ara Labs | Ad-Fraud Malware Hijacks Router DNS – Injects Ads Via Google Analytics http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-analytics/ この仕組みを解明したのは、ネットのセキュリティ

    Googleアナリティクスを悪用して広告とポルノをウェブに挿入する攻撃方法が判明
    klim0824
    klim0824 2015/03/27
    ”DNS Changer”
  • ここ数日のeo光、DTI、VALUE DOMAINで発生したDNSサーバー障害についてまとめてみた。 - piyolog

    2015年2月2日以降、eo光、DTI、VALUE DOMAINDNSサーバーにおいて障害が発生しました。ここではその関連情報をまとめます。なお、各事象の関連性について確証となる情報はpiyokangoが確認できておらず、DNS水責め攻撃の関連は推測です。(似たような障害が重なっただけといった可能性もあります。) DNSサーバー障害が起こった組織 piyokangoが確認した範囲では次の3社のDNSサーバーで障害発生。 (1) eo光 2015年2月1日 DNSサーバー設備障害復旧のお知らせとお詫びについて(修正報) 障害原因:アクセス数増加(DDoS攻撃)による過負荷 → サーバー設備障害にその後修正 障害発生期間:2015年2月1日 22時45分 〜 2015年2月2日 0時22分 障害による影響:ユーザーがWeb閲覧やメール等のサービスを利用できない場合があった。 (2) DTI

    ここ数日のeo光、DTI、VALUE DOMAINで発生したDNSサーバー障害についてまとめてみた。 - piyolog
  • DNSソフト開発元サイトがダウン、利用者にマルウェア検査を要請

    BIND 9やDHCPなどの提供するInternet Systems ConsortiumのWebサイトにマルウェアが仕掛けられた可能性がある。 DNSソフトのBIND 9やDHCPなどインターネットの中核となるソフトウェアを提供する米Internet Systems Consortium(ISC)のWebサイトが12月25日現在、メンテナンスモードになっている。ISCは「マルウェアに感染した可能性がある」として、ISCサイトへアクセスした全てのコンピュータでマルウェアスキャンを実施してほしいと呼び掛けている。 事態の詳細は不明だが、ISCがWebサイトを閉鎖したのは米国時間の22日から23日頃とみられ、マルウェアの駆除や感染の影響調査などの対応にあたっているもようだ。 米セキュリティ企業のCyphortによると、ISCのWebサイトが何らかの方法で閲覧者をマルウェア配布サイトに誘導するよ

    DNSソフト開発元サイトがダウン、利用者にマルウェア検査を要請