233grados

Si un atacante logra el control de este servicio, y consigue cambiar la dirección IP de un nombre de dominio por otra IP de su antojo, es fácil suponer el poder que puede conseguir. Por un lado, puede hacer daño a la compañía dueña del dominio, llevándose tráfico a la competencia. Por el otro, puede hacer creer al usuario que está en la página correcta y que éste termine facilitando datos privados, como claves bancarias.

Estos fallos son conocidos como envenenamiento de DNS o DNS Poisoning y existen muchas técnicas, más o menos sofisticadas, para provocarlos. La que hoy nos ocupa fue advertida por el conocidísimo Daniel J Bernstein hace ya algunos años. Bernstein es un conocido desarrollador/gurú/profesor/experto en seguridad que se hizo muy famoso por desarrollar a finales de los años 90 el programa de correo qmail, competidor directo del omnipresente sendmail, con el paradigma de la seguridad y la simplicidad por bandera. Él insistía en que se podía hacer un desarrollo fácil, usable, veloz y totalmente seguro si se hacían bien las cosas. Asimismo, desarrolló un software DNS con el mismo paradigma y libre incluso del fallo que hoy nos ocupa.

Investigación original

Recientemente, el experto en seguridad Dan Kaminski, advirtió que muchos ISP estaban usando una característica "no legal" del protocolo DNS para redireccionar tráfico. ¿En qué consistía? En circunstancias normales, cuando alguien teclea en el navegador una dirección que no existe [por ejemplo www.estonoexistenuncajamas.com],  el protocolo DNS se encarga de informar al navegador de este error, ya que no va a ser capaz de encontrar página correcta para ese dominio.  Cuando se manipulan los DNS, lo que ocurriría en el ejemplo anterior es que en vez de una página de error el usuario llega a una página de sugerencias, con alternativas al dominio que habían tecleado. Si esa página no estaba bien desarrollada, permitía el uso de técnicas para engañar al usuario creyendo estar en una página “legal” cuando realmente no es así.

[Esto no es más que un uso no muy legítimo del protocolo DNS. De hecho, otras compañías, como NetWork Solutions, han usado esa misma técnica para otras causas mucho menos permisibles ]

Este problema puede agravarse si, en vez de ser un dominio que no existe, se usa un subdominio de una marca conocida, por ejemplo, "estonopuedeexistirnuncaenlavida.google.com".  En este caso, el error en el servicio DNS será el mismo, pero la página a la que accede el usuario estará bajo el subdominio de la marca en cuestión (en este caso, Google.com).

Explicación técnica

Aunque los detalles todavía no son públicos -lo serán en unas semanas-,  la investigación de Kaminski permitió llegar a una forma posible de engañar al servicio DNS de forma real. Ese engaño, potencialmente, permitiría cambiar direcciones IP de cualquier servicio almacenado en el servidor DNS.

El problema es muy técnico, pero puede resumirse así: una comunicación "legal" de un DNS exige un código o transacción que, al no ser totalmente aleatorio, puede ser simulado por un atacante. Este atacante podría predecir la secuencia de transacciones siguiendo un patrón o simplemente por fuerza bruta.

Si dicha transacción fuera totalmente aleatoria, este problema no existiría, tal y como comentó hace años Daniel J. Bernstein, y como implementan “de serie” algunos software de DNS como “OpenDNS” o “djbdns”

Lo importante de esto es que todavía no hay herramientas automáticas de “ataque” que puedan ser usadas por cualquiera, pero con el conocimiento existente a día de hoy, no tardarán en aparecer. Es de destacar la coordinación de los fabricantes de software y organizaciones involucradas para ofrecer actualizaciones el mismo día. Habrá que ver si es suficiente.

Hay que actualizar el servicio DNS, o reconfigurarlo bien si el software lo soporta. Si no se hace, en las próximas semanas podremos ver que aquellos ISP rezagados recibirán ataques.  Muchos fabricantes expertos en seguridad han sido también victimas, como Check Point o Juniper (por poner dos ejemplos, la lista total viene en la referencia del CERT).

Y sobre todo, porque alguien ya advirtió que esto podía suceder.