La historia del famoso bug del DNS ya se convirtió en una novela que está cansando a muchos, pero aún así es tan relevante para la seguridad de todo lo que se haga por Internet que se vuelve una obligación estar al tanto.
Ahora que Dan Kaminsky dijo todo lo que tenía para decir (presentación realizada en la conferencia Black Hat en formato ppt) y en teoría no hay más secretos guardados, podemos adentrarnos más en los detalles técnicos del problema. Una excelente guía al respecto es la de Steve Friedl, quien explica con una claridad muy didáctica cómo funcionan los exploits que ponen en jaque a todo el sistema DNS, brindando en el camino un básico pero excelente curso sobre algunos pormenores de las peticiones DNS. También nos estamos enterando que los sitios protegidos bajo cifrado SSL no son del todo invulnerables, si hipotéticamente se consigue, mediante este mismo exploit y asociado tal vez con otros, comprometer los servidores DNS de la entidad emisora de certificados en cuestión para redirigir su correo y poder adulterar certificados vía email, algo que muchas entidades admiten; y aún sin entrar en tanta complejidad, hay que ver cuántos usuarios le prestarían atención al aviso que muestra su navegador al acceder a un sitio cuyo certificado no concuerdo o no está emitido por una entidad de confianza.
Pero todo no termina acá. Ahora apareció un ruso llamado Evgeniy Polyakov, el cual afirma haber comprometido un servidor BIND completamente parcheado, e incluso sube la apuesta afirmando que no existe ninguna solución que no sea vulnerable, incluso DJBDNS, el servidor DNS creado por el matemático D. J. Bernstein que desde el principio fue reconocido como uno de los pocos que vino haciendo las cosas bien desde el principio con respecto a la seguridad. Ahora claro, si nos ponemos a ver qué fue lo que realmente logró Polyakov, vemos que tampoco es el fin del mundo precisamente: Para poder comprometer ese servidor BIND tuvo que utilizar dos máquinas muy rápidas bajo una conexión Ethernet de 1 Gbps, consiguiendo el resultado recién al cabo de unas 10 horas aproximadamente. No significa que habiendo parcheado aún toda la Internet continúa en peligro, sino que, como afirman muchos especialistas, sólo se "compró algo de tiempo" para hacer el ataque a escala global menos eficaz, y mientras tanto muchos deberían estar pensando ahora mismo en cómo encontrar una solución más definitiva para cuando ese tiempo se acabe. Mientras tanto, aquellas empresas cuyas redes locales funcionan a 1 Gbps o más tienen un motivo más del cual preocuparse…
Entradas Relacionadas
Ubuntu hackeado en su propia cara
El pegamento con muñequito y otras yerbas
3 comentarios
Comentarios asociados a este artículo
Enlace al trackback
http://geekotic.com/2008/08/12/fallo-dns-ya-parcheamos-realmente-estamos-seguros-ahora/trackback/
12/Agosto/2008 a las 7:30
Javier Salinas
Usando
Debian IceWeasel 3.0.1 en 
Debian GNU/Linux
Para ir implementando:
http://www.dnssec.net/
Saludos
12/Agosto/2008 a las 8:41
Gabolonte Blasfemus
Usando
Opera 9.51 en 
Windows XP
Javier, no veo a todos muy optimistas con soluciones como DNSSEC… Pero algo habrá que hacer.
12/Agosto/2008 a las 9:33
Javier Salinas
Usando
Debian IceWeasel 3.0.1 en 
Debian GNU/Linux
Gabolonte:
Yo lo vi funcionando en el ICANN Meeting del 2005 y me pareció muy prometedor.
No se muy bien en que estado se encuentra ahora, ya que me es imposible seguir de cerca todo lo que me interesa, pero en su momento las opciones contrarias eran pedidos de peras al olmo. Que no protege contra DDOS y que tiene costo de implementación, por ejemplo.
Esto último sobre todo. Porque hay que reconocer que a muchos ISPs les rompe mucho los quinotos que tengan que gastar para asegurar las comunicaciones de sus clientes. Si fuera para asegurarse ellos, sería otro cantar, pero …
Igual, el dnssec es un parche BBB de un sistema de dns pensado para hace 30 años, no para los requerimientos actuales. Y ese si que es un quilombo grosso para resolver.
Saludos