Geekotic

Algo de agua pasó bajo el puente del problema de seguridad con el DNS: Ahora ya sabemos que se filtró información antes de tiempo y que, seguramente gracias a eso, hay exploits dando vueltas. Lo que también ahora sabemos, siempre gracias a Kriptópolis, son los métodos para comprobar desde nuestra consola la seguridad al respecto de cualquier servidor DNS, eliminando la necesidad de recurrir al test del sitio de Dan Kaminsky, el cual nos permite chequear solo al de nuestro ISP.

Desde Linux se puede utilizar la herramienta dig, que viene incluida dentro las distros más populares, para chequear contra un servidor DNS especial que nos responderá si si estamos en condiciones buenas, medias o pobres de seguridad. Los comandos que podemos utilizar son cualquiera de estos:

dig +short @ip_dns_a_testear porttest.dns-oarc.net txt

De la misma forma, en Windows tenemos tanto la opción de utilizar la herramienta dig instalándola desde acá como la de utilizar directamente el comando nslookup que viene incorporado:

nslookup -type=txt -timeout=30 porttest.dns-oarc.net ip_o_hostname_del_dns_a_testear

Por ejemplo, la primera vez que escribí sobre este fallo del DNS había chequeado los DNS de Telefónica y estos eran vulnerables. Si ahora los chequeo nuevamente me tira que los muchachos al menos hicieron su trabajo actualizándolos:

Servidor:  dns23r.speedy.com.ar
  Address:  200.63.155.67

Respuesta no autoritativa:
  porttest.dns-oarc.net   canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     
text = "200.63.155.20 is GOOD: 26 queries in 5.8 seconds from 26 ports with std dev 20372.97" 

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

En cambio, si por ejemplo analizamos uno de IPlan, vemos que viene habiendo bastante inoperancia por ese lado:

Servidor:  dns1.iplanisp.com
  Address:  200.69.193.1 

Respuesta no autoritativa:
  porttest.dns-oarc.net   canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     text = "200.69.193.1 is POOR: 26 queries in 4.1 seconds from 1 ports with std dev 0.00" 

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net     nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

Gracias a estos comandos podemos también sacarnos la duda con los servicios DNS de firewalls o routers, ya sean hogareños o corporativos. Por ejemplo yo pude confirmar lo que se decía en los foros de DD-WRT sobre que este firmware para routers no se ve afectado por el bug.

También, si no nos queremos complicar demasiado, existe, además del de Kaminsky, otro test vía web para verificar nuestros DNSs automáticamente.