[HACK] DNS seguridad

[merce at grn.es]

esto   no   ha  sido  peer-reviewed  por  nadie  o sea que puede haber
errores,  tambien en las citas... Gracias a roman que me ayudo, aunque
no salga :)

M&M


19:20 20/02/02


ICANN ACOMETE LA MISIÓN IMPOSIBLE DE ASEGURAR EL SISTEMA DE DOMINIOS


Mercè Molist
La  Internet  Corporation  for  Assigned  Names  and  Numbers  (ICANN)
presentaba  la  semana pasada a un pionero de la red, Stephen Crocker,
como  su nuevo jefe de seguridad. El cargo, que hasta ahora no existía
en  la  organización,  es la primera consecuencia práctica del interés
que  la  fiabilidad  del  Sistema  de  Nombres  de  Dominio  (DNS)  ha
despertado en empresas y gobiernos, desde el 11-S.

Crocker  dirigirá  el Comité de Seguridad y Estabilidad, cuya creación
se  acordó  en  el  último  encuentro  de  ICANN, el pasado noviembre.
Diversos  expertos  avisaron  allí  de  la  posibilidad  de  un ataque
diseñado  para  bombardear los 13 servidores principales de nombres de
dominio,  que podría echar abajo toda Internet. La empresa responsable
de  estas  máquinas, Verisign, desmintió que fuesen inseguras. Pero el
debate  sobre  la fragilidad del sistema, conocida hasta entonces sólo
por los técnicos, ya estaba abierto.

En  diciembre,  una publicación del National Infrastructure Protection
Center   avisaba:  "Compañías  y  proveedores  necesitan  examinar  su
arquitectura de DNS". Meses antes, una mala configuración de Microsoft
la  había  aíslado  24 horas de Internet. En enero, BBC News informaba
del malestar en empresas y gobiernos europeos: "Las organizaciones que
llevan  dominios  de  primer  nivel,  como .uk o .de, están pidiendo a
ICANN  garantías escritas sobre la estabilidad de los servidores raíz.
A lo que ésta se ha negado".

Pero,  según los expertos, el problema no son los servidores raíz sinó
la  misma  base  del  sistema, el protocolo DNS, obsoleto y plagado de
fallos,  que  conecta  a  millones de servidores de nombres de todo el
mundo.  El  sistema  DNS  es  una  gran  base  de  datos distribuida y
jerárquica,  que  convierte  las direcciones como www.midominio.com en
direcciones  numéricas,  comprensibles  para  las  máquinas. Todos los
dominios  están  conectados a dos o más servidores de nombres, que les
permiten ser localizados, para servicios web, correo, etc.

Los  fallos  del  protocolo  DNS  y sus programas asociados, como BIND
(Berkeley  Internet  Name  Domain),  lo  mantienen  imbatible  en  los
primeros  puestos  de  "Las 20 vulnerabilidades más críticas" del SANS
Institute:  "Más  del  50%  de  los  servidores  DNS tienen fallos. En
minutos,   se  podrían  borrar  datos  de  un  sistema,  tener  acceso
privilegiado   o  atacar  desde  allí  a  otros".  Lo  confirma  Pablo
Carretero,  consultor  de  seguridad  de  S21sec:  "En las auditorías,
siempre encontramos alguna vulnerabilidad en el servidor DNS, por mala
configuración  o  por  no  tener  los  últimos  parches,  lo que puede
desembocar  en  una  intrusión.  Y  cualquiera  tiene  en Internet los
programas para hacerlo".

Jesús  Cea, de Hispasec, destaca el ataque llamado "DNS Spoofing", que
provoca  que  "cuando  intentas  conectarte  a un sitio, vas a otro. Y
cuando  un  servidor  intenta  verificar tu identidad, ve la de otro".
Ésta  es  la  principal  debilidad  del  sistema,  según el experto en
seguridad   "Tahum":   "El   protocolo   DNS   no   posee  métodos  de
autenticación,  lo  que  permite engañar a la máquina que solicita una
resolución  de  nombres.  Así,  se  podría modificar la IP asociada al
dominio de un banco y enviar a los usuarios a la competencia".

El nuevo protocolo DNSSEC, que utiliza criptografía y firmas digitales
para  la  identificación, acabaría con estos problemas. Pero, reconoce
Cea,  "DNSSEC  no consigue despegar, igual que IPv6 y otros protocolos
modernos,  porque  suelen  ser  más  costosos en términos de recursos.
Además,  los  viejos  no  funcionan  tan  mal y hay tantos millones de
máquinas que el coste de la migración sería brutal".


ICANN
http://www.icann.org
BIND
http://www.isc.org/products/BIND
DNSSEC
http://www.ietf.org/ids.by.wg/dnssec.html
http://www.pgp.com/research/nailabs/network-security/an-introduction.asp
Djbdns
http://cr.yp.to/djbdns.html
MaraDNS
http://sourceforge.net/projects/maradns




SECUESTROS DE DOMINIOS


Los  expertos  de  ICANN avisaron también, en su reunión de noviembre,
sobre  el secuestro de dominios. Este ataque no se aprovecha de fallos
técnicos  sinó  de  los  métodos  defectuosos  de  autenticación en la
comunicación   entre   el   propietario   del  dominio  y  la  empresa
registradora.  Consiste en enviar una carta al registrador, haciéndose
pasar  por  la  víctima,  pidiendo  un  cambio  en  la propiedad de su
dominio. Se calcula el tiempo que tardará la empresa en responder a la
víctima y se envía una respuesta falsa, confirmando el cambio.

Recuperar  un dominio puede costar meses y litigios, como le sucedió a
sex.com. Según el abogado Javier Maestre, "en la gestión de nombres de
dominio últimamente se están observando bastantes irregularidades, que
pueden  denunciarse  perfectamente. Si alguien se hace pasar por otro,
está  suplantando  identidad, y si no se ha actualizado el tema de los
contactos   técnicos  y  administrativos  en  la  base  de  datos  del
registrador, es un error en la gestión".