DNS etc.

Petr Novotny Petr.Novotny na antek.cz
Pátek Duben 7 11:12:28 CEST 2000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 7 Apr 00, at 11:01, Pavel Kankovsky wrote:

> Pouze pokud si stanovym *apriorni* limit na objem pameti.

Vy pracujete s potencialne neomezenou pameti? Tedy, vase 
financni zdroje bych chtel mit. :-)

Prakticky je to jeste jednodussi: Strasne moc stavu totiz muze byt 
ihned vylouceno jako "nespravny vstup". Pokud skutecne je, zbyva 
toho pro rozbor mnohem mene...

> Ale porad je ta kes vystavena zlemu svetu tou stranou, ktera dotazy
> preposila dal (a jak jsme si uz vysvetlili, dosahnout, aby se kes na
> neco konkretniho zeptala, neni tezke).

Pokud kes odpovida na dotazy prichazejici pres 127.0.0.1, tak _je_ 
tezke ji donutit, aby se zeptala. Musite prinutit cloveka nebo 
program, aby se v konkretnim okamziku nekam podival. (K tomu 
uz potrebujete OPRAVDU hodne vedet.)

Ale cache neduveruje nikomu. Cache _vi_, ze je svetu vystavena 
zlou stranou, a kazdy paket povazuje za nepratelsky. Pakety 
prijima jen od tech, jichz se ptala, s id, ktere vysilala, a out-of-zone 
zaznamy pouziva jen pro domenu, na niz se ptala (povazuje je za 
poison, a naklada s nimi presne tak).

> "Podepsan od amazon.com"...to znamena, ze uz mam odnekud nejaky
> verejny klic od Amazonu (jinak by mi jejich podpis byl na dve veci).
> Kdyz ten verejny klic pouziju pro autentizaci spojeni (napr. behem
> vymeny klicu) v IPSecu, tak mi sice NSI muze zkouset podstrcit blby
> zaznam, ale ja se zmast nenecham, protoze podstrcena druha strana
> nebude schopna presvedcive predstirat, ze je Amazon.

Ovsem nepoznam, z jakeho duvodu se mi autentifikace nepovedla. 
Jestli mam spatny klic, expirovany klic, nebo na ktere z vrstev mi 
kdo keca. Jsem tedy mnohem snadnejsim tercem 
psychologickeho utoku "mas spatny klic, spravny si stahnu odtud".


IPSec neni vsespasitelne - treba proto, ze je vypocetne velmi 
narocne. Zkuste porovnat, kolik utoku se na Internetu deje pomoci 
DNS spoofingu a kolik pomoci "IP+web spoofingu" (unesu linku a 
predstiram, ze jsem pes.eunet.cz na 193.85.233.22). Takze 
sifrovat _veskere_spojeni_ je mozna zbytecne paranoidni, a 
prozatim prilis drahe. (CPU se casem zlevni, ale zase narostou 
datove toky. :-))

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOO2YbFMwP8g7qbw/EQKdrgCg3sHaRGH0Ep/7LT8PO2v0Fp5OENkAn2cq
oJkCvPhJf8h9rxm8SeuFpeIk
=HcUU
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux