Revelan falla de los DNS por accidente Revelan falla de los DNS por accidente

¿Eso que iba a ser secreto, recuerdan?

Revelan falla de los DNS por accidente

por

¿Eso que iba a ser secreto, recuerdan?

Recordará el lector que el investigador de seguridad Dan Kaminsky descubrió una falla de seguridad en el protocolo DNS que permitiría a un usuario malicioso raptar el tráfico de todos los computadores conectados a un servidor de nombres. Esta falla fue revelada a diversos agentes de la industria del software y hardware de conectividad, pero no se reveló al público en la esperanza de que nadie intentara explotarla hasta que estuviese completamente parchada.

Pues bien, esta semana, producto de una serie de equívocos, la falla está casi determinada por completo. En primer lugar, Thomas Dullien, CEO de Zynamics, publicó en su blog que en su opinión no revelar la falla no impide que en este momento todos los black hat hackers del mundo estén intentando descubrirla. En segundo lugar, a modo de ejemplo, postuló cómo se imagina él que es la falla, como para demostrar que cualquiera podría aventurar su teoría sin ser experto en protocolos.

La teoría de Dullien involucra tres elementos:

  • Un DNS maligno controlado por el black hat hacker, cuya IP diremos que es 244.244.244.244
  • Un DNS víctima que se intentará raptar, digamos que es dns.victima.com
  • Una URL que el DNS víctima no sepa resolver, digamos dominiofalso.com

Acto seguido se le pregunta a dns.victima.com por dominiofalso.com, y como no sabe resolverlo, está obligada a preguntar a uno de los 13 pilares (los DNS root servers) quién sabe resolverlo. Algo asi como: “Venerable anciano de los 13, me preguntan por dominiofalso.com, quien sabe a qué IP corresponde?”Como el hacker sabe que la víctima está preguntando, le empezará a enviar respuestas haciéndose pasar por uno de los 13. “Pequeño DNS, esa zona que buscas la puede resolver dns.victima.com, cuya IP es 244.244.244.244”.

Y listo, el dns víctima cree que su propia URL es la IP del DNS maligno, y de ahí en adelante (al menos lo que dure el time to live) le cederá a 244.244.244.244 el privilegio de resolver todos los request que le lleguen.

La teoría de Dullien no es el problema real, y por sí misma sólo es una elucubración ingenua. El problema vino cuando Thomas Ptacek, de la empresa Matasano (que no se especializa en medicina) a quien el mismo Dan Kaminsky le dijo la falla, posteó corrigiendo a Dullien en el tenor: “Si ya contaste la falla, cuéntala bien, te faltó decir esto y esto otro”.

Minutos después en Matasano se dieron cuenta de la metida de pata y quitaron el post, pero ya estaba en el caché de Google. Ahora estamos en una situación en la que sólo queda rezar porque nuestros ISP hayan alcanzado a parchar sus máquinas a tiempo.

Fuente: post de Grimlock