Grave Vulnerabilidad DNS: la mayor actualización de seguridad de la historia

Importante error en el sistema de nombres de Internet

El Martes 8 de Julio, CERT anuncióla liberación deun parche para múltiples implementaciones de DNS destinado a corregirun grave error de seguridad que afecta a toda la arquitectura deInternet.

El fallo permitía suplantar páginas web aún tecleando el dominio correctodominio correcto

A principios de este año, el investigador Dan Kaminskyde IOActivedescubrióuna vulnerabilidad básica en el protocolo DNS que permite a posibles atacantes comprometer cualquier servidor de nombres, incluyendo también a los clientes, pudiendo redirigir cualquier dirección de Internet a otros sitios falsos, incluso si la víctima teclea de manera correcta dicha dirección en el navegador.

El riesgo más importante de este grave agujero de seguridad es el de posibles ataques de ‘pharming’y 'phishing', es decir, la simulación de sitios web falsos con formularios (por ejemplo, aquellos que simulan páginas de bancos o comercios 'online') para captar datos personales de internautas, como números de tarjetas de crédito u otros datos sensibles. También podría permitir el robo de claves de e-mail.

La mayor actualización de seguridad de la historia

Desde que se descubrió esta vulnerabilidad, Kaminsky ha venido trabajando en secreto con un largo número de fabricantes y vendedores con el objetivo de implementar un parche coordinado.

Se trata de la mayor actualización de seguridad de la historia de Internet.

Mientras que la mayoría de los usuarios domésticos serán automáticamente actualizados, las empresas deberán asegurarse que todas sus redes también son actualizadas.

Kaminsky ha puesto a disposición pública un herramienta de verificación DNS (http://doxpara.com/) para comprobar si los sistemas son vulnerables.La mayor actualización de seguridad de la historia

Detalles técnicos

Los sistemas vulnerables son aquellos donde el ID de transacción de 16-bits en el DNS y el numero de puerto para la transacción (también de 16-bits) no son escogidos de manera aleatoria.

El atacante debe ser capaz de falsificar su dirección IP y no deben estar detrás de algún IPS que filtre trafico de salida. El resultado de dicha vulnerabilidad es un ataque de envenenamiento al DNS.

Este ataque ya había sido documentado de cierta forma en el 2003 (CachePoisoningusingDNS TransactionID Prediction), sin embargo se necesitaban de un gran numero de paquetes para hacer funcionar el ataque, y no era confiable.

Ahora podemos decir que existe una estrategia más efectiva y que es posible saber como el servidor DNS asigna los números de transacción y el puerto.

El problema radica en que las direcciones IP de origen pueden ser falsificadas y que el ID de transacción de DNS es de 16 bits, lo cual es un poco corto para ser considerado una clave aleatoria usable. Ese ID, como cualquier clave que tenga implicaciones en la seguridad, debería ser de por lo menos 64 bits y ser generada por un generador de números aleatorios de grado criptográfico.

Otra solución podría ser reemplazar la infraestructura actual de DNS por DNSSEC, algo difícil si consideramos la dificultad de implantarlo y popularizarlo masivamente a escala mundial.

Los detalles técnicos de esta vulnerabilidad serán presentados por Kaminskyen la conferencia BlackHatdentro de un mes (6 de Agosto), para dar tiempo suficiente para la instalación de los parches (‘randomizacion’de puertos) que hagan que este ataque no tenga efecto.

JeffMoss, fundador de la conferencia BlackHat, se felicitaba por esta acción mundial de seguridad. "Estamos siendo testigos de la difusión masiva de un parche por parte de múltiples proveedores para luchar contra un error que, por ejemplo, podría haber permitido a alguien redirigir la dirección Google.comdonde él quería".

Extraído de http://unlugarsinfin.blogspot.es

Comentarios