Opasado mes de febreiro, Dan Kaminsky, un experto en seguridadeinformática de Estados Unidos, atopou por casualidadeun erro no sistema de asignación de direccións deInternet, máis coñecido como DNS. Segundoa información facilitada até a data, non consiste nunfallo local senón que pon en xaque a toda a Rede. Trátase dunerro que acompañou ao sistema desde os seus primeiros tempos,pero até agora ninguén o localizou.
Este fallo permitiría a un pirata informático cambiar a configuración do sistema de nomes de dominio e suplantar a identidade das direccións orixinais
Lestefallo permitiríaa un pirata informático cambiar a configuración dosistema de nomes de dominio e redireccionar o tráfico deInternet cara a sitios que suplanten a identidade das direcciónsorixinais. É dicir, si un usuario teclea adirección do seu banco no navegador, accedería a unhapáxina falsa e sería moi difícil a primeira olladapescudar si realmente trátase dunha suplantación. Estesposibles ataques de phishingpoderían servir aos ciberdelincuentes paira recompilar datospersoais, números de cartóns de crédito oucontrasinais de sistemas bancarios “online”.
Debido ás graves consecuencias que a publicación deeste fallo podería ocasionar á Rede, o 31 de marzo de lesteano reuníronse na sede de Microsoft, en Redmond, estadode Washington, os representantes de seguridade das 16 principaisempresas de Internet de Estados Unidos.
Este grupo, coa axuda doEquipo de Emerxencia e Resposta Informática do Departamentode Seguridade Interior norteamericano, decidiu traballarconxuntamente paira crear parches de seguridade co fin de evitarque o erro DNS puidese explotar. Microsoft,Cisco, Debian, Red Hat, Sun, ISC, Juniper, entre outros,xunto con outras empresas provedoras de Internet (ISP) hanproporcionado parches de seguridade mediante descargas ouactualizacións automáticas dos sistemas operativos aoswebmasters das páxinas e servizos de Internet.
Algúns ISP españois tardaron máis do debido en aplicar os diferentesparches de seguridade paira protexer aos seus usuarios do erro DNS
Atéo pasado oito de xullo, día en que se fixo públicoeste fallo paira alertar a outras empresas, ninguén coñecía aexistencia do mesmo. Só se filtraron algúnsdetalles, á espera de que a situación sexa osuficientemente segura paira explicar a outros expertos de seguridadeinformática o erro atopado.
Algúns ISP españois tardaron en aplicar os diferentesparches paira protexer aos seus usuarios. O portal BandaAncha manténunha listaxe actualizadadiariamente coa situación e vulnerabilidade de cada undos servidores DNS utilizados polos provedores deacceso españois. Pola súa banda DanKaminsky creou no seu blogpersoal una ferramenta “online” denominada “check my DNS”que permite a calquera usuario coñecer en tempo real se a súa conexióna Internet é vulnerable a estes ataques.
OpenDNS.com, a mellor solución?
Una das solucións que Kaminsky, e outros expertos de seguridade,recomendan a aqueles usuarios cuxo provedor de acceso non haxaimplementado aínda as medidas de seguridade é cambiarmanualmente a configuración de acceso aos seus servidores DNSpor outros máis seguros. Entre estas medidas atópase autilización dos servidores DNS proporcionados porOpenDNS.com. Esta webproporciona una sistema de nomes de dominioseguro que pode ser utilizado por calquera. Paira iso,os usuarios deben substituír nas propiedades da súa conexióna Internet a dirección dos seus servidores de dominio polasdous de OpenDNS: 208..67.222.222 e 208.67.220.220.
OpenDNS, doutra banda, ten una forma curiosa de financiarse:recorre a mostrar una páxina con publicidade cada vez que unusuario non atopa a páxina de Internet que estábuscando. Os seus promotores aseguran que este sistema é totalmenteseguro paira os usuarios.
Con todo, Kaminsky alertouo pasado mes de abril dos perigos en que poden incorrer osprovedores de acceso que utilizan as páxinas de erro pairaredireccionarlas cara a outras con contido publicitario. Basicamente,o que fan estes ISP é modificar a resposta NXDOMAIN, nome deDNS non atopado, por unha páxina propia do ISP. En España,este sistema é utilizado, entre outros, polo ISP Xa.com.
O sistema DNS, que se definiu a finais dos anosoitenta, é o encargado de listar as direccións web e facelascorresponder coa dirección IP, una direcciónnumérica que identifica cada un dos servidores edispositivos conectados a Internet. As DNS almacénanse nunhabase de datos distribuídae xerárquica, onde tamén se almacena a localizacióndos servidores de correo electrónico de cada dominio. Este sistemanaceu pola necesidade de lembrar de forma máissinxela os nomes de todos os servidores conectados á Web.
As DNS almacénanse nunha base de datos distribuída e xerárquica, onde tamén se almacena a localización dos servidores de correo electrónico de cada dominio
Esta base de datos non se garda nun só lugar, xa quesería incapaz de soportar todo o tráfico de Internet.Paira iso utilízanse servidores de DNS, onde se replica ainformación da base de datos DNS ao longo dunha rede deservidores establecidos por todo o mundo. Cada vez que se engadeun novo nome de dominio ou algún dos xa existentes cambia a súaconfiguración, este cambio debe ser actualizado en cada un dosservidores DNS existentes. Este tempo, coñecido como propagacióndas DNS, adoita estimarse entre 24 e 48 horas. Durante este períodoos servidores adoita estar inoperativos.
