Enlaces Patrocinados:
Esta semana la noticia más sonada en el ámbito de la seguridad informática hace referencia a un fallo crítico, una vulnerabilidad que radica en el diseño de las DNS que conforman la arquitectura base de la Internet. Varias compañías se encuentra trabajando para parcharlo y muchas de ellas ya han hablado del tema: Microsoft, Sun, Cisco, Debian, Red Hat, Solaris, etc. Imagínense la gravedad del caso.
El hecho es que este fallo lleva años ¿Cómo? ¿Si lleva años por qué nadie lo parchó? Veamos …
El investigador de seguridad Dan Kaminsky merece mucho del crédito por dar a conocer la seriedad de la falla y que se encuentra trabajando (tras el telón) conjuntamente con estas empresas para gestionar actividades de parcheos de seguridad, ya llevo asi algunos meses. Sin embargo Kaminsky no fue el primero en descubrir la falla, sino el primero con la suficiente influencia como para movilizar la red.
Hace tres años Ian Green, luego de estudiar para su Certificación GIAC de Fundamentos Básicos de Seguridad (GSEC), envió un paper detallando la misma vulnerabilidad de DNS spoofing, como se muestra en las notas del SANS Institute’s Internet Storm Centre.
Con el objeto de hacer una consulta fantasma de DNS es necesario adivinar tanto el Query ID como el puerto de origen. El Query ID tiene una tamaño de 16 bits, y el servicio UDP del puerto de origen tiene casi unas 60,000 potenciales opciones. Pero como señaló Green en el 2005, las transacciones de DNS son incrementadas “en uno” por cada consulta mientras que el puerto de origen UDP sigue siendo el mismo mientras dure la sesión.
Aunque los detalles exactos de esta vulnerabilidad aún no han sido revelados (por razones obvias), se avecinan días (o semanas) de intenso parcheo para los administradores (añado: y también para los usuarios que utilizan Bind y similares para cachear sus resoluciones de nombres).
Mientras tanto, el propio Kaminsky ha publicado en su blog un comprobador de servidores DNS (botón “Check my DNS”) que les permite comprobar si el tuyo (o en la mayoría de casos el de tu proveedor) sigue estando afectado y -sobre todo- cuándo deja de estarlo.
Vía: The Register, Kriptópolis, Genbeta
April 27th, 2009 at 9:21 am
[…] rx5 – Crzy_King – BLaSTeR, los cuales habrían aprovechado una vulnerabilidad de uno de los servidores de DNS de una de las empresas que proporciona el servicio de nombres de dominio al NIC de Puerto Rico […]
April 28th, 2009 at 5:25 pm
[…] rx5 – Crzy_King – BLaSTeR, los cuales habrían aprovechado una vulnerabilidad de uno de los servidores de DNS de una de las empresas que proporciona el servicio de nombres de dominio al NIC de Puerto Rico […]