Artigo traducido por un sistema de tradución automática. Máis información aquí.

DNSSEC, unha Internet máis segura

A implantación de sistemas de certificación dos dominios nos servidores do ICAAN protexe a navegación dos usuarios
Por Jordi Sabaté 30 de Agosto de 2010
Img dnssec portada
Imagen: Sven

Hai pouco máis de dous anos, o experto en seguridade Dan Kaminsky alertou ao mundo sobre unha grave vulnerabilidade na conformación doDNS ou Sistemas de Nomes de Dominio, que identifican as direccións de Internet e encárganse de que un usuario poida ir dunha páxina web a outra. Desde hai unhas semanas, o organismo encargado de outorgar os dominios de cada direcciónURL, oICAAN, implantou as solucións definitivas que aseguran o DNS e evitan que poidan suplantarse por parte de cibercriminales ou gobernos quequeiran evitar que os seus cidadáns cheguen a determinadas páxinascontrarias aos seus intereses. Son as denominadas DNSSEC ou extensións de seguridade para o DNS.

Imagen: Sven

Aínda que os usuariosescriban letras ena barra do seu navegador para construír unha dirección URL, a Rede funciona con números. Cada dirección ten asignada unha matrícula numérica denominada direcciónIP, que traduce a números as letras escritas polo internauta para que os servidores poidan comprender a mensaxe e levarlle á páxina web que desexa. Desta tradución encárganse os servidores DNS, propiedade do ICAAN e que se sitúan en California (Estados Unidos).Teñen uns enormes discos duros que almacenan a información sobreas correspondencias entre letras e números.

O sistema funciona cunha complexarede de servidores menores que replican esta información para evitarque cada vez que un usuario escribe unha dirección URL, a peticiónde tradución numérica teña que chegar aos servidores do ICAANe regresar coa resposta, o que retardaría moito anavegación. Esta rede, ou redes, de servidores organízanse nunárbore de proximidade para que o tempo de resposta sexamínimo.

Suplantación de direccións na raíz

O problemaque detectou Kaminsky é estrutural, acompaña á Rede desdeos seus inicios e sitúase nos servidores DNS deprimeiro nivel, que organizan a información segundo odominio (.com, .es, .eu, .org, .net, etc.). No entanto, estendíase aos seguintes niveis, que refiren ao nome en concreto dea páxina web (Google, Yahoo!, Consumer, etc.). Consistía nunhavulnerabilidade que permitía que un ciberdelincuente puidesesuplantar no servidor DNS de primeiro nivel, chamado raíz, apetición dun usuario dunha determinada páxina por outra falsa.

Se o usuario pedía unha páxina, podía suceder que un ciberdelincuente lograse cambiarlle no servidor DNS a dirección numérica correspondente por outra falseada

Coa vulnerabilidade aodescuberto,se o usuario pedía a páxina de Eroski Consumer (www.consumer.es),podía suceder que un delincuente lograse cambiarlle no servidorDNS a dirección numérica correspondente (217.116.2.18) por outrafalseada e co mesmo deseño. O usuario vía no seu navegador a páxina falsa e interactuaba con ela. Isto, trasladado á páxina dun banco ou un comercio electrónico, supón un grave perigo de estafa ou roubo de datos (os coñecidos Phishinge Pharming). Como a vulnerabilidade rexistrábase en todo o planeta, o risco era incalculable.

Tras a advertencia de Kaminsky, que sereuniu cos expertos dos principais organismos e empresas dea Rede, tomouse a decisión de instaurar unha serie de protocolos decertificación nos servidores de primeiro nivel, que asegurasen quea resposta que viaxa ao usuario (a páxina web que verá) é acorrecta e non unha suplantación. Durante os últimos dous anos, osexpertos traballaron nestes programas de certificación e agoraxa están implantados.

En que se benefician os usuarios?

A información que sae agora dosservidores de primeiro nivel ten a certificación de que non estáfalseada e así chega replicada aos servidores máis próximos aousuario, que pode navegar de forma máis segura e evita caeren tácticas de suplantación de páxinas moito máis poderosas queas actuais e que, na maioría dos casos, son estafas.

Se nos casos de Phising basta con ser cautos e tomar unha serie de medidas como ler ben a dirección URL á que remite o delincuente ou non contestar correos sospeitosos, de explotarse a vulnerabilidade, sería moi difícil distinguir entre unha páxina falsa e outra real. Aínda que non se ten coñecemento de que se explotou, crese que algúnsdelincuentes poderían saber dela.

O usuario pode facer unha navegación máis segura e evitar caer en tácticas de suplantación de páxinas moito máis poderosas que as actuais

Doutra banda, DNSSEC reforza osprotocolos e niveis de seguridade SSL, utilizados para cifrar ainformación confidencial que se envía ou se recibe, tanto como paraprotexer a almacenada nos servidores públicos oucorporativos. En consecuencia, é unha garantía adicional de que osdatos privados do usuario almacenados en servizos web estánprotexidos de maneira correcta.

Tamén no apartado das liberdades civís, de comunicación, expresión e información, as DNSSEC teñen moitas vantaxes. Unha das estratexias para evitar que os cidadáns se informasen era acudir aos servidores DNS e cambiar as peticións de sitios web por páxinas con información falseada ou rebotar as peticións de modoque non se puidese acceder a elas. Coas DNSSEC serámoito máis difícil que os hackers falseen a información, xa que non poden acceder aos servidores de primeiro nivel como antes.