Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Grave fallo de seguridad en los servidores DNS

alejandrosantos

Según parece, se ha detectado un agujero de seguridad en todos los servidores DNS a nivel mundial, que afecta a la manera, en que estos servidores DNS trabajan, de forma que, toda la infraestructura de Internet estaba comprometida.

Un servidor DNS, trabaja convirtiendo la dirección del navegador web (por ejemplo), en una dirección IP que puede ser entendida por los protocolos de Internet. Esto es: si tecleáis en el navegador la página web elmundo.es (por poner un ejemplo), el servidor DNS traducirá esa dirección web, por su equivalente en dirección IP, es decir, lo traducirá por la dirección 193.110.128.200.

Sin embargo, con ese agujero de seguridad detectado, resulta que se puede variar la dirección IP que el servidor DNS entrega al equipo que pide la traducción, y como resultado de esta acción, la página web, no será la que nosotros queremos ver, sino otra completamente distinta. Este agujero de seguridad, comprometía muy seriamente la integridad de Internet, ya que, si alguien con malas intenciones, se hubiera dado cuenta de este fallo, se podrían haber dado innumerables casos de phising, sin que nadie se diera cuenta.

Por poner un ejemplo.... sería como si quisierais acceder a la página de google (google.es), y el navegador os mostrara la página de bandaancha (bandaancha.eu). Ahora imaginaos, si en vez de ese ejemplo, se cambian las direcciones de la banca electrónica, por otras para atrapar las claves de acceso...., y es sólo uno de los innumerables ejemplos que se podrían poner.

La verdad es que hay que dar un 10 a todas las compañías de software (Microsoft, Sun, Cisco, etc), ya que han estado trabajando al unísono todas juntas, para poder solucionar este problema lo antes posible.

(Original)

Nemesisdesatan

Si he entendido bien todo acaba en elmundo.es/navegante/2008/04/21/tecnolog…8795552.html

O sea, que cuando la direccion no existia el DNS al que consultabas te mandaba a una pagina de una compañia de publicidad?

Y la compañia de publicidad tenia problemas con su seguridad.

¿Lo he entendido mal?

🗨️ 18
BocaDePez
BocaDePez

Eso no es cosa del servidor dns, eso sucede porque has usado un software sin garantias o visitado una web que aprovecha alguna vulnerabilidad de explorer, y ha modificado cosas en tu ordenador para que al no existir el dominio aparezca esa web en lugar del mensaje de error

Pero es un problema tuyo y de tu pc, nada que ver con dns. La solución más sencilla es usar Firefox :)

🗨️ 8
javierul

Eso tambien puede pasarte con firefox y opera.

Como no cambies el windows, a traves de host y algun que otro archivo pueden hacerte esas perrerias

🗨️ 7
Mocho

Si te cambian el host te lo hacen en cualquier sistema operativo, pero lo normal no es eso. Lo normal es que visites una web con explorer, solo eso, y desde ese momento ya tienes ese problema, cosa que no pasa con ningún otro navegador.

🗨️ 6
javierul

La diferencia es que en linux y cualquier unix como mac si no eres root es imposible modificarlo.

🗨️ 5
BocaDePez
BocaDePez
0
🗨️ 4
javierul
-1
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
0

J*der ... si lo he entendido yo bien ... la noticia no tiene nada que ver ni con el título, ni con el contenido. Tan sólo que hay jetas chapuzas que no hacen bien ni su trabajo ni sus chanchullos, como ha pasado siempre.

🗨️ 4
Mocho

Pues lo has entendido mal, es sencillamente un fallo de seguridad en el codigo de los servidores dns de internet, que se ha detectado como se detectan tantos otros en apache, phpnuke, etc, solo que este es especialmente grave porque los servidores dns desenpeñan un papel crítico en la navegación.

Se parchea y listo.

🗨️ 3
BocaDePez
BocaDePez
-1

Como las cucarachas. Por cada cucachara que ves hay una docena escondidas.

¿Tramitar asuntos personales por Internet? Juas, juas, juas... a la ventanilla del banco y de paso verle el canalillo a la becaria.

🗨️ 1
BocaDePez
BocaDePez

Hostias, lo que hace la dislexia. Cucacharra no, blatodeo, o lo que es lo mismo... como para fiarse del dni electrónico.

BocaDePez
BocaDePez

Gracias por rectificarme. Ahora sólo me queda "insultarme" a mí mismo por no fijarme más.

Cargué el enlace del primer comentario pensando que era una fuente de la noticia ... y no miré la fecha. En ese caso (hace casi 3 meses) sí que podría corresponder lo de "jetas chapuzas que no hacen bien ni su trabajo ni sus chanchullos". Mis disculpas por lo de "la noticia no tiene nada que ver ni con el título, ni con el contenido".

Como comentario constructivo ... si hay varias compañías "parcheando", señal de que no es un error de programación (que tendría un culpable y un único software afectado) sino probablemente de diseño del protocolo. Dado que los protocolos se discuten en la RFC correspondiente, tirón de orejas para todos. El rediseño de la parte correspondiente del protocolo sí merece 6 meses de trabajo, al menos si se quiere hacer esta vez bien.

BocaDePez
BocaDePez

pOsiblemente la compañia de publicidad tenga problemas de seguridad, pero ese no es el problema. El problema lo has comentado, dijiste : O sea, que cuando la direccion no existia el DNS al que consultabas te mandaba a una pagina de una compañia de publicidad?

BocaDePez
BocaDePez

De hecho Ya.com lo hace en sus DNS. Si no se resuelve el host te muestra una página con anuncios muy "guays" y te redirige a la página que a ellos les parezca en X segundos. De hecho en su momento lo anunciaron como un "servicio extra", si no recuerdo mal.

🗨️ 1
miguel1

Eso mismo hace opendns... y en algún que otro momento vi que intentan reemplazar los anuncios de google por los suyos propios ;)

manyly

Sí, tu fíate de las noticias tecnológicas de los periodicos... :D

Mocho
2

Los servidores dns de Telefónica siguen presentando la vulnerabilidad, así que no han sido parcheados y habrá que tener MUCHO cuidado porque ahora el problema ya es público y habrá mucho mamoncete buscando servidores dns inseguros.

Estaría bien que los que tenéis otros proveedores nos dijerais si se han parcheado o no.

🗨️ 8
zErop

Como lo comprobamos? Utilizo euskaltel.

🗨️ 3
inar

Extracto de la noticia en elmundo.es:

"Nunca se había realizado una operación de seguridad de esta magnitud", comentó el Kaminsky, que ha creado un sitio (www.doxpara.com) para permitir a los usuarios de Internet para poner a prueba su vulnerabilidad frente a esta amenaza.

🗨️ 2
BocaDePez
BocaDePez
1

¿Y si ese sitio es falso?

🗨️ 1
inar

Según whois del sitio, pertenece al propio Dan Kaminsky, y solo es para consulta de la vulnerabilidad en el DNS que utilizas.

No hay que ser tan paranoico, hombre ;)

BocaDePez
BocaDePez

Hace 4 horas, el dns por defecto de ono tambien era vulnerable.

BocaDePez
BocaDePez

Las DNS de Jazztel también son vulnerables.

🗨️ 1
Kalimist

Ya no :)

Ivaner3k

las dns de ono ahora mismo son vulnerables, a ver si las parchean rapidito.

KarmaZenBuffer
0

estimado editor de noticias, rwx esto es muy serio.

saludos.

🗨️ 2
BocaDePez
BocaDePez

nO Se tron, yo cuando leo el doc elmundo.es/navegante/2008/04/21/tecnolog…8795552.html que ha puesto el compi + arriba, entiendo que el problema no es por los servidores dns, el problema son los administradores de los servidores. Según el articulo cuando un usuario pregunta a uno de sus servidores y el dominio por el que pregunta no existe, el admin de dns en vez de mandarle la pagina de error le redirige a otro servidor, por qué? pues supongo que por lo mismo de siempre, pasta!

BocaDePez
BocaDePez
-1

Ya sólo falta que aparezca BILBOKOaBuffer

nopenope
1

..."pasando" del nombre de dominio y metiendo la IP directamente. Para hablar con el banco casi que lo más seguro, ¿no?. Creo que ningún servidor DNS en España deja de ser vulnerable ahora mismo -he testado varios en esa página-. No he podido encontrar detalles del problema, por ejemplo, con un navegador configurado con una extensión que te permite ver simultáneamente el nombre de dominio y la IP de una página, ¿puedo entender que si soy redirigido fraudulentamente a otra página, vería el mismo nombre de dominio -obviamente- pero otra IP?

🗨️ 15
Mocho
-1

Efectivamente, pero al menos mi banco no me permite operar entrando por ip, el certificado de seguridad va asociado al nombre de dominio y si entras de esa forma no funciona correctamente.

🗨️ 7
BocaDePez
BocaDePez
-3
🗨️ 5
Ivaner3k
-3
🗨️ 4
BocaDePez
BocaDePez
-3
🗨️ 3
BocaDePez
BocaDePez
-3
🗨️ 2
BocaDePez
BocaDePez
-3
🗨️ 1
BocaDePez
BocaDePez
1
BocaDePez
BocaDePez

Mete la IP en tu archivo hosts.

BocaDePez
BocaDePez

Cuantas más extensiones le pongas a tu navegador... éste más inseguro se queda.

Para esas cosas no hace falta ninguna extensión.

🗨️ 3
nopenope

No te creas. Para Firefox hay varias imprescindibles: NoScript, SafeCache, SafeHistory y FireKeeper. Para lo que hacen ésas, sí hace falta una extensión. Lo otro, de acuerdo, es una comodidad.

🗨️ 2
BocaDePez
BocaDePez
-1

En el Universo no hay nada ni nadie imprescindible. Como decía un amigo... "aquí la única solución es hacerme imprescindible" (en su trabajo con una base de datos windosera) y ahora está en el paro, jajajajaj.

FireKeeper está en fase alfa (a lo mejor es peor el remedio que la enfermedad) y no figura en la página oficial segura de descarga addons.mozilla.org/

Yo no instalaría una extensión bajada desde cualquier sitio, ni siquiera revisándole el código con lupa.

Las demás extensiones si están en la lista oficial, pero NoScript se actualiza muy a menudo, más de lo necesario, y tiene la manía de hacerte SPAM obligándote, por defecto, a visitar su sitio web cada vez que le haces un update. Cuando prima la propaganda y el donativo voluntario... tiembla, pueblo.

Si quieres un poco más de seguridad contra los script-kiddies y demás fauna, no contra la gente que sabe lo que hace, que esa gente, si quiere, te caga el tarro por mucha seguridad que tengas, pero afortunadamente esa gente no pierde el tiempo en esas cosas, usa Debian GNU/Linux con el Iceweasel y retocando un poco la configuración, en lugar del Firefox en Windoze lleno de extensiones... y sobre todo DEJA DE VISITAR PÁGINAS PORNO, COÑO, que ya estás mayorcito para tanta paja.

🗨️ 1
nopenope

Imprescindible para Firefox. Como es lo que es, yo desde luego no lo usaría sin eso. Que es exactamente lo que he dicho y lo que quería decir. Yo no considero la página de Maone como spam, a fin de cuentas me temo que la única superioridad que tiene Firefox sobre el resto de navegadores sobre MS es ésa. Del IceWeasel... sí, bueno, hace poco hubo una pequeña cagada en Debian, ¿no? Para eso uso Epiphany en Gnome y acabo antes, creo... Las páginas porno, por supuesto, las miro a través de Spybye. Incluyendo en las páginas porno a la prensa generalista xD

ivimail

hay algo que no estais teniendo en cuenta, y es que hay paginas web con multiples IP's, y gracias a los servidores DNS se realiza un balanceo de carga por DNS, y tambien hay servidores web que bajo la misma IP albergan varias paginas web.

🗨️ 1
nopenope

Tienes razón, gracias. Las páginas de múltiples IP (Google, sin ir más lejos) no es un problema para lo que hablamos, sin embargo varias páginas alojadas en la misma IP, sí. Pero bueno, normalmente no es el caso de un organismo público o privado donde haya que tratar con datos.

BocaDePez
BocaDePez
0

Quote »

-------------------------------------------------------------------------------------
metiendo la IP directamente Para hablar con el banco casi que lo más seguro, ¿no?
------------------------------------------------------------------------------------

Lo mejor es ir en modo físico, a la ventanilla, para verle el canalillo a las becarias y si puedes te relacionas con alguna y le metes la IP directamente.

Bueno, no, mejor tú habla con el banco desde Internet y así tengo menos competencia.

BocaDePez
BocaDePez

A mí, en la barra de arriba en que se pueden ir acumulando direcciones de webs, desde hace tiempo me figura una IP correspondiente a una dirección de una página web. El servidor muchas veces no me funciona. El otro día me dirigí a esa IP de la página web y me llevó a un servidor que decía no sé qué y no sé cuál, y no sé que de redirigir etc.. Había publicidad y pinche en una de ellas: me llevó a un Foro en turco...

🗨️ 1
BocaDePez
BocaDePez

La pasión turca... échate vaselina.

santito

La verdad se podía explicar la noticia un poco más.

El fallo fue descubierto hace varios meses, y grandes empresas de redes y sistemas, notificadas por el descubridor, y sin que saliera a la luz, se pusieron juntas a trabajar para tapar este fallo que incluian hasta ahora a la mayoría de los servidores dns de todas las plataformas.

Y hoy es el día en el que se habían puesto de acuerdo para lanzar los parches todos a la vez saliendo a la luz la vulnerabilidad existente.

O al menos eso es lo que he entendido yo.

Saludos

PD: Los DNS de Yacom por supuesto tampoco se han actualizado por el momento... Como es normal no creo que los paren a mitad del día. Además, Yacom compromete la seguridad de los DNS más aún redirigiendo a donde les da la gana si entras a una web que no existe.

🗨️ 2
BocaDePez
BocaDePez

Exacto, perdón, debí leer el hilo entero antes de comentar lo de Ya.com

Saludos!

djnacho

Lo cual quiere decir, que desde hace seis meses, que se detectó el agujero de seguridad, todos los servidores DNS han estado indefensos. Y he ahí el peligro, porque si alguien se hubiera dado cuenta del fallo de seguridad, y lo hubiera utilizado en su propio beneficio, la cosa podría haberse puesto muy negra, por no decir negra del todo (si fallan los servidores DNS, o los servidores DNS no proporcionan la traducción correcta de las direcciones, se acabó el internet que conocemos, así de sencillo).

Un saludo :)

BocaDePez
BocaDePez

Yo tengo Jazztel. Esta es la página web que se aloja en mi casilla de direcciones que me dirige a un foro turco: http://192.168.1.1

en DSL Router requiere un nombre de usuario y una contraseña.

🗨️ 1
BocaDePez
BocaDePez

Que cachondo... Anda que andemos finos...

¿No sera porque la web es de CISCO?

Hahahaha

Vermu

6 meses... joe.. y luego nos quejamos de lo que tarda Microsoft en sacar sus parches para Windows.

RedStar
1

Si no he malinterpretado el test que he forzado a mi servidor DNS lo que hace es analizar el puerto fuente de la petición DNS para comprobar si siempre procede del mismo puerto o no. Ya que las peticiones DNS se hacen por UDP la elección del puerto fuente suele ser fija (a diferencia de las conexiones TCP que se pueden establecer aleatoriamente) debido a que solemos esperar la respuesta en un único puerto (en UDP pueden llegar diferentes paquetes de diferentes direcciones IP con diferentes puertos de destino al mismo puerto fuente).

Conclusión a la que he llegado:

El bug consiste en bombardear los servidores DNS (sobre todo los raiz, cuyo envenenamiento se propagaría por toda la red de servidores DNS que los consultaran) diciendo que el servidor DNS (registro NS) de cierto dominio es el servidor DNS del atacante falseando la dirección IP de la respuesta conociendo el puerto fuente (fijo) y destino (53).. de esta manera el servidor DNS atacante empezará a servir peticiones A, MX, etc de todos los servidores DNS que hayan obtenido el registro envenenado NS dirigiéndoles a IPs donde aloja sus dominios falsos.

El ataque sólo surtiría efecto durante la duración de la caché del servidor DNS atacado, y a su vez el envenenamiento sólo surtirá efecto si el paquete UDP falsificado llega entre la petición real del servidor DNS que realiza la consulta y la respuesta real del servidor DNS verdadero.

Dado que la latencia típica entre servidores alojados en redes muy diferentes suele ser de unos 100ms es tiempo más que suficiente para que un bombardeo surta efecto si se envían paquetes cada 50 ms (por ejemplo).

Esto es más difícil de realizar en TCP debido a que no sólo hay que conocer el puerto fuente-destino, IP fuente-destino, si no que, además, hay que conocer (acertar con) el número de secuencia del paquete tras el establecimiento de la conexión.

Lo que no me explico es porqué no aparece por ahora ningún artículo explicando exactamente en qué consiste el bug pudiendo intuirse fácilmente del test que se realiza al servidor DNS...

🗨️ 5
djnacho
1

¿Seguro que no hay ningún artículo?.... kb.cert.org/vuls/id/800113
Y..., si...., digamos que la página que ves, es la UVI de internet en Estados Unidos ;)

Un saludo :)

🗨️ 4
RedStar
1

Me has cortado el artículo que estaba escribiendo.. visité la página de BIND para ver las últimas actualizaciones que estaba descargando en mi servidor:

root@xxxxx:xxx# apt-get dist-upgrade
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias... Hecho
Se instalarán los siguientes paquetes extras:
libdns21 libisc11 libisccc0 libisccfg1
Paquetes sugeridos:
bind9-doc
Se actualizarán los siguientes paquetes:
bind9 bind9-host libbind9-0 libdns21 libisc11 libisccc0 libisccfg1

En isc.org/index.pl?/sw/bind/index.php aparece la página que me dices (está en la portada, bajo el "ATTENTION" rojo en negrita :).

Añade un punto que yo pasé por algo: la ID de transacción. Obliga al atacante a enviar 32.768 paquetes UDP para poder envenenar la consulta si la ID de transacción es generada aleatoriamente (como dicta el RFC).

También cabe mencionar que las soluciones se basan en dividir entre 2^16 - 1024 las posibilidades del atacante de envenenar el servidor DNS aleatorizando el puerto fuente (excepto la solución "paralela" de usar DNSSEC en el dominio).

Otro saludo.

🗨️ 3
RedStar

El primer enlace simplemente explica lo mismo que dice este artículo. El segundo enlace es similar al primero pero añade el enlace al que hizo referencia djnacho. El tercer enlace hace referencia a un software servidor DNS que detecta intentos fallidos de envenenamiento de caché incorporando la elección aleatoria del puerto fuente. En el enlace del que hablamos djnacho y yo aparece listado.

Ahora.. exceptuando el enlace a OpenDNS, ¿qué querías aportar con tus enlaces? Mi navegador (mozilla firefox) parece no mostrar el texto que los acompaña.

Por cierto (si perdonáis mi pequeña rabieta anterior), bajo Linux podemos aleatorizar el puerto fuente de cualquier servidor DNS de nuestra intranet usando SNAT o MASQUERADE:

iptables -t nat -A PREROUTING -p udp --dport 53 -j SNAT --to xxxx:1024-65535

o

iptables -t nat -A PREROUTING -p udp --dport 53 -j MASQUERADE --to-ports 1024-65535

De ese modo estamos aplicando la solución adoptada mayoritariamente sin tener que parchear o actualizar el software. Viene muy bien como solución temporal mientras se prueba en producción la actualización de software o para sentirse (falsa/doble)mente más seguro.

Un saludo.

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Mejor se lo agradeceis a Dan Kaminski que ha sido el verdadero descubridor y no ha querido cobrar NINGUN DERECHO DE PROPIEDAD INTELECTUAL. Eso es un verdadero heroe.

🗨️ 1
BocaDePez
BocaDePez

Como Cristóbal Colón, que descubrió America... pero otra gente, entre ella los indígenas americanos y los vikingos ya habían estado allí. Unos se llevan la fama y otros el provecho.

Como tú no sabes de lo que estoy hablando... échale flores a tu héroe.

BocaDePez
BocaDePez
0

Eso siempre ha existido y lo han usado los gusanos y espias pero a nivel local con el fichero de hosts en windows.

A nivel de carriers y compañías se suponen que los routers que son resolvedores de dominio son seguros y que nadie puede acceder a ellos, por lo que esa vulnerabilidad que ha sido muchas veces pensada, no es posible.

No se que tiene de nuevo me he impresionando al leer algo tan trivial...

Quien no ha hecho esto con el Cain en una red local?, usando este programa en modo promiscuo entre un pc y otro (router de la red y todos los pc's) al cambiar la tabla arp, podías modificar los paquetes de peticiones dns es decir el pc escucha respondia antes al paquete que el router y engañabas la resolución dns del pc victima, probarlo en vuestra lan si quereis.

Saludos!!