#ssmjp 2019/04 (DNSの話を聞く会)に参加してきた
はじめに
#ssmjp 2019/04 - connpass
DNSの話を聞く会ということで、行ってきました。ssmjp自体は4回目ぐらい。
申込者が多く、補欠に並んでいましたが繰り上がりが厳しそうなので、
当日にたまたまアウトプット枠が空いていたので、飛び込んでみました。
アウトプット枠ということで、twitterで#ssmjpのハッシュタグでの積極的なツイートおよび質疑応答(議論)の時間にコメントを出していたりしましたが、
ブログでも一応書いておけば、アウトプット枠でも許してやろうと言われるんじゃないかなと。
発表は以下4つになります。
@sischkgさん「BINDのメモリリークとRoot KSK Rollover」
BIND Memory leak Vulnerability and Root KSK Rollover - Speaker Deck
JANOGやDNS温泉で発表しようと思ったけど、修正版のリリースが遅れ今回のssmjpでの発表になったそうです。
脆弱性の発見から、脆弱性の説明やその背景の説明、開発元とのやりとりなどが詳しく解説されていました。
脆弱性をさっくりいうと、
DNSSECというDNSの応答に電子署名を付与して、応答が改ざんされていないかを検証できるようにする機能があり
その機能で使っているRoot Zoneにおける公開鍵暗号の鍵交換プロセス内で、
検証するサーバ側が自身の持っている鍵のTagを通知する提案がされ、その実装をBINDで実装したらメモリリークの脆弱性が生まれてしまった。
それを、発表者のsischkgさんがご自身のファジング環境で発見した、というかんじでした。
DNS_Fullresolver_onsen.pdf - Speaker Deck
ファジング環境はDNS温泉番外編で解説されていましたが、今回も濃い発表でした。
ちなみに、お仕事はDNSでもセキュリティ関連ではないそうですよ。それもすごい。
@fj_twtさん「DNS BOM-BA-YE!! 〜DNSを止めろな!〜」
sischkgさんのコアな話から、わりと知っている人も多い最近のDNSの流れというか抱えている問題を上手くまとめられていました。
トピックとして挙げると
DNSを止めるな
総務省|安全・信頼性の向上|重大な事故の報告
電気通信事業法の重大な事故の報告についてのお話。
総務省|電気通信政策の推進|ドメイン名電気通信役務の信頼性等の確保
あと総務省関連だと、平成27年の電気通信事業法改正の話も興味深いので知らない人はどうぞ。
https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf
DNS(≒BIND)を止めないための脆弱性に対するパッチリリースプロトコルの理解。
さすがは、一級BIND脆弱性予報士!
DNSをとめろ
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-81-2.pdf
OP53BやNIST SP800-81-2のChecklist item 39の話。
ってかんじでした。上手いまとめだなと思いました(小並感)
DNS Summer Dayのおしらせ
今年もDNS Summer Day 2019やるよって告知。
日本DNSオペレーターズグループ | DNS Summer Day 2019
私も、業務都合がつきそうなら問題なさそうなら今年も参加予定です。
@tss_ontapさん「黒塗りの DNS (萎縮編)」
黒塗りのDNS
そして、今回の本命、浸透言うなことtss先生。
色々言いたいことはあるけど、色々差し支えがあるようなきも、しないでもないので(どっち)
一言で言うと、認証なしにゾーン追加できるサービスとても危ないという趣旨で、
なぜかというと、乗っ取りができる可能性がある。
さらに、サービスによってはメールも盗聴できる可能性がある。というお話でした。
先生も発表中に少し触れられていましたが、
この問題に新規性はあるかといえば、そうではなく以前からあった問題かと思います。
しかし、様々な理由から蔑ろになったり、見て見ぬふりをされていたような気がします。
危険だと、認知が広がれば色々な人を説得できる。そいう機運になればなとは個人的に思っています。
(他人任せすぎるという批判は受けそうだけれど。。。)
