El mes de febrer passat , Donen Kaminsky, un expert en seguretatinformàtica dels Estats Units, va trobar per casualitatun error en el sistema d’assignació d’adreces d’Internet,més conegut com DNS. Segonsla informació facilitada fins avui, no consisteix en unafallada local sinó que posa en escac a tota la Xarxa. Es tracta d’unerror que ha acompanyat al sistema des dels seus primers temps,però fins ara ningú l’havia localitzat.
Aquesta fallada permetria a un pirata informàtic canviar la configuració del sistema de noms de domini i suplantar la identitat de les adreces originals
Estfallada permetriaa un pirata informàtic canviar la configuració delsistema de noms de domini i redirigir el trànsit deInternet cap a llocs que suplantin la identitat de les adrecesoriginals. És a dir, si un usuari tecleja ladirecció del seu banc en el navegador, accediria a unapàgina falsa i seria molt difícil a simple vistaesbrinar si realment es tracta d’una suplantació. Aquestspossibles atacs de phishing. podrien servir als ciberdelincuentes per a recopilar dadespersonals, nombres de targetes de crèdit ocontrasenyes de sistemes bancaris “online”.
A causa de les greus conseqüències que la publicació deaquesta fallada podria ocasionar a la Xarxa, el 31 de març d’aquestany es van reunir en la seu de Microsoft, en Redmond, estatde Washington, els representants de seguretat de les 16 principalsempreses d’Internet dels Estats Units.
Aquest grup, amb l’ajuda delEquip d’Emergència i Resposta Informàtica del Departamentde Seguretat Interior nord-americà, va decidir treballarconjuntament per a crear pegats de seguretat amb la finalitat d’evitarque l’error DNS pogués s’explotat. Microsoft,Cisco, Debian, Xarxa Hat, Sun, ISC, Juniper, entre altres,juntament amb altres empreses proveïdores d’Internet (ISP) hanproporcionat pegats de seguretat mitjançant descàrregues oactualitzacions automàtiques dels sistemes operatius a elswebmasters de les pàgines i serveis d’Internet.
Alguns ISP espanyols han trigat més del que cal a aplicar els diferentspegats de seguretat per a protegir als seus usuaris de l’error DNS
Fins ael passat vuit de juliol, dia en què es va fer públicaquesta fallada per a alertar a altres empreses, ningú coneixia laexistència d’aquest. Només s’han filtrat algunsdetalls, a l’espera que la situació sigui elprou segura per a explicar a altres experts de seguretatinformàtica l’error oposat.
Alguns ISP espanyols han trigat a aplicar els diferentspegats per a protegir als seus usuaris. El portal BandaAncha mantéun llistat actualitzatdiàriament amb la situació i vulnerabilitat de cadascundels servidors DNS utilitzats pels proveïdors deaccés espanyols. Per la seva part DonenKaminsky ha creat en el seu blogpersonal una eina “online” denominada “check my DNS”que permet a qualsevol usuari conèixer en temps real si la seva connexióa Internet és vulnerable a aquests atacs.
Opendns.com, la millor solució?
Una de les solucions que Kaminsky, i altres experts de seguretat,recomanen a aquells usuaris el proveïdor d’accés dels quals no hi hagiimplementat encara les mesures de seguretat és canviarmanualment la configuració d’accés als seus servidors DNSper uns altres més segurs. Entre aquestes mesures es troba lautilització dels servidors DNS proporcionats perOpendns.com. Aquesta webproporciona una sistema de noms de domini. segur que pot ser utilitzat per qualsevol. Per a això,els usuaris han de substituir en les propietats de la seva connexióa Internet l’adreça dels seus servidors de domini per lesdos d’OpenDNS: 208..67.222.222 i 208.67.220.220.
OpenDNS, d’altra banda, té una forma curiosa de finançar-se:recorre a mostrar una pàgina amb publicitat cada vegada que unusuari no troba la pàgina d’Internet que estàbuscant. Els seus promotors asseguren que aquest sistema és totalmentsegur per als usuaris.
No obstant això, Kaminsky va alertarel mes d’abril passat dels perills en què poden incórrer elsproveïdors d’accés que utilitzen les pàgines d’error per aredirigir-les cap a altres amb contingut publicitari. Bàsicament,el que fan aquests ISP és modificar la resposta NXDOMAIN, nom deDNS no oposat, per una pàgina pròpia de l’ISP. A Espanya,aquest sistema és utilitzat, entre altres, per l’ISP Ya.com.
El sistema DNS, que es va definir a la fi dels anysvuitanta, és l’encarregat de llistar les adreces web i fer-lescorrespondre amb l’adreça IP, una adreçanumèrica que identifica cadascun dels servidors idispositius connectats a Internet. Les DNS s’emmagatzemen en unabase de dades distribuïdai jeràrquica, on també s’emmagatzema la localitzaciódels servidors de correu electrònic de cada domini. Aquestsistema va néixer per la necessitat de recordar de forma méssenzilla els noms de tots els servidors connectats a la Web.
Les DNS s’emmagatzemen en una base de dades distribuïda i jeràrquica, on també s’emmagatzema la localització dels servidors de correu electrònic de cada domini
Aquesta base de dades no es guarda en un sol lloc, ja queseria incapaç de suportar tot el trànsit d’Internet.Per a això s’utilitzen servidors de DNS, on es replica lainformació de la base de dades DNS al llarg d’una xarxa de servidorsestablerts per tot el món. Cada vegada que s’afegeixun nou nom de domini o algun dels ja existents canvia la sevaconfiguració, aquest canvi ha de ser actualitzat en cadascun delsservidors DNS existents. Aquest temps, conegut com a propagacióde les DNS, sol estimar-se entre 24 i 48 hores. Durant aquestperíode els servidors sol estar inoperatius.
