Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Grave fallo de seguridad en los servidores DNS

Según parece, se ha detectado un agujero de seguridad en todos los servidores DNS a nivel mundial, que afecta a la manera, en que estos servidores DNS trabajan, de forma que, toda la infraestructura de Internet estaba comprometida.

Un servidor DNS, trabaja convirtiendo la dirección del navegador web (por ejemplo), en una dirección IP que puede ser entendida por los protocolos de Internet. Esto es: si tecleáis en el navegador la página web www.elmundo.es (por poner un ejemplo), el servidor DNS traducirá esa dirección web, por su equivalente en dirección IP, es decir, lo traducirá por la dirección 193.110.128.200.

Sin embargo, con ese agujero de seguridad detectado, resulta que se puede variar la dirección IP que el servidor DNS entrega al equipo que pide la traducción, y como resultado de esta acción, la página web, no será la que nosotros queremos ver, sino otra completamente distinta. Este agujero de seguridad, comprometía muy seriamente la integridad de Internet, ya que, si alguien con malas intenciones, se hubiera dado cuenta de este fallo, se podrían haber dado innumerables casos de phising, sin que nadie se diera cuenta.

Por poner un ejemplo.... sería como si quisierais acceder a la página de google (www.google.es), y el navegador os mostrara la página de bandaancha (bandaancha.eu). Ahora imaginaos, si en vez de ese ejemplo, se cambian las direcciones de la banca electrónica, por otras para atrapar las claves de acceso...., y es sólo uno de los innumerables ejemplos que se podrían poner.

La verdad es que hay que dar un 10 a todas las compañías de software (Microsoft, Sun, Cisco, etc), ya que han estado trabajando al unísono todas juntas, para poder solucionar este problema lo antes posible.

(Original)

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • 18

    Los servidores dns de Telefónica siguen presentando la…

    Los servidores dns de Telefónica siguen presentando la vulnerabilidad, así que no han sido parcheados y habrá que tener MUCHO cuidado porque ahora el problema ya es público y habrá mucho mamoncete buscando servidores dns inseguros.

    Estaría bien que los que tenéis otros proveedores nos dijerais si se han parcheado o no.

  • Cómo funciona el bug

    Si no he malinterpretado el test que he forzado a mi servidor DNS lo que hace es analizar el puerto fuente de la petición DNS para comprobar si siempre procede del mismo puerto o no. Ya que las peticiones DNS se hacen por UDP la elección del puerto fuente suele ser fija (a diferencia de las conexiones TCP que se pueden establecer aleatoriamente) debido a que solemos esperar la respuesta en un único puerto (en UDP pueden llegar diferentes paquetes de diferentes direcciones IP con diferentes puertos de destino al mismo puerto fuente).

    Conclusión a la que he llegado:

    El bug consiste en bombardear los servidores DNS (sobre todo los raiz, cuyo envenenamiento se propagaría por toda la red de servidores DNS que los consultaran) diciendo que el servidor DNS (registro NS) de cierto dominio es el servidor DNS del atacante falseando la dirección IP de la respuesta conociendo el puerto fuente (fijo) y destino (53).. de esta manera el servidor DNS atacante empezará a servir peticiones A, MX, etc de todos los servidores DNS que hayan obtenido el registro envenenado NS dirigiéndoles a IPs donde aloja sus dominios falsos.

    El ataque sólo surtiría efecto durante la duración de la caché del servidor DNS atacado, y a su vez el envenenamiento sólo surtirá efecto si el paquete UDP falsificado llega entre la petición real del servidor DNS que realiza la consulta y la respuesta real del servidor DNS verdadero.

    Dado que la latencia típica entre servidores alojados en redes muy diferentes suele ser de unos 100ms es tiempo más que suficiente para que un bombardeo surta efecto si se envían paquetes cada 50 ms (por ejemplo).

    Esto es más difícil de realizar en TCP debido a que no sólo hay que conocer el puerto fuente-destino, IP fuente-destino, si no que, además, hay que conocer (acertar con) el número de secuencia del paquete tras el establecimiento de la conexión.

    Lo que no me explico es porqué no aparece por ahora ningún artículo explicando exactamente en qué consiste el bug pudiendo intuirse fácilmente del test que se realiza al servidor DNS...

      • Me has cortado el artículo que estaba escribiendo.. visité la…

        Me has cortado el artículo que estaba escribiendo.. visité la página de BIND para ver las últimas actualizaciones que estaba descargando en mi servidor:

        root@xxxxx:xxx# apt-get dist-upgrade
        Leyendo lista de paquetes... Hecho
        Creando árbol de dependencias... Hecho
        Se instalarán los siguientes paquetes extras:
        libdns21 libisc11 libisccc0 libisccfg1
        Paquetes sugeridos:
        bind9-doc
        Se actualizarán los siguientes paquetes:
        bind9 bind9-host libbind9-0 libdns21 libisc11 libisccc0 libisccfg1

        En http://www.isc.org/index.pl?/sw/bind/index.php aparece la página que me dices (está en la portada, bajo el "ATTENTION" rojo en negrita :).

        Añade un punto que yo pasé por algo: la ID de transacción. Obliga al atacante a enviar 32.768 paquetes UDP para poder envenenar la consulta si la ID de transacción es generada aleatoriamente (como dicta el RFC).

        También cabe mencionar que las soluciones se basan en dividir entre 2^16 - 1024 las posibilidades del atacante de envenenar el servidor DNS aleatorizando el puerto fuente (excepto la solución "paralela" de usar DNSSEC en el dominio).

        Otro saludo.

        • BocaDePez BocaDePez
          12
          http://www.kriptopolis.org/node/6211/38294#comment-38294http://…

          http://www.kriptopolis.org/node/6211/38294#comment-38294

          http://www.kriptopolis.org/fallo-critico-dns-obliga-parchear-internet

          http://www.opendns.com/

          • El primer enlace simplemente explica lo mismo que dice este…

            El primer enlace simplemente explica lo mismo que dice este artículo. El segundo enlace es similar al primero pero añade el enlace al que hizo referencia djnacho. El tercer enlace hace referencia a un software servidor DNS que detecta intentos fallidos de envenenamiento de caché incorporando la elección aleatoria del puerto fuente. En el enlace del que hablamos djnacho y yo aparece listado.

            Ahora.. exceptuando el enlace a OpenDNS, ¿qué querías aportar con tus enlaces? Mi navegador (mozilla firefox) parece no mostrar el texto que los acompaña.

            Por cierto (si perdonáis mi pequeña rabieta anterior), bajo Linux podemos aleatorizar el puerto fuente de cualquier servidor DNS de nuestra intranet usando SNAT o MASQUERADE:

            iptables -t nat -A PREROUTING -p udp --dport 53 -j SNAT --to xxxx:1024-65535

            o

            iptables -t nat -A PREROUTING -p udp --dport 53 -j MASQUERADE --to-ports 1024-65535

            De ese modo estamos aplicando la solución adoptada mayoritariamente sin tener que parchear o actualizar el software. Viene muy bien como solución temporal mientras se prueba en producción la actualización de software o para sentirse (falsa/doble)mente más seguro.

            Un saludo.

            • BocaDePez BocaDePez
              6
              Quote->> Ahora.. exceptuando el enlace a OpenDNS, ¿qué…

              Quote->>

              Ahora.. exceptuando el enlace a OpenDNS, ¿qué querías aportar con tus enlaces?

              -------------------------------------------------------------

              La forma de envenenar a un RedStar.

  • Si he entendido bien todo acaba en…

    Si he entendido bien todo acaba en http://www.elmundo.es/navegante/2008/04/21/tecnologia/1208795552.html

    O sea, que cuando la direccion no existia el DNS al que consultabas te mandaba a una pagina de una compañia de publicidad?

    Y la compañia de publicidad tenia problemas con su seguridad.

    ¿Lo he entendido mal?

    • BocaDePez BocaDePez
      6

      De hecho Ya.com lo hace en sus DNS. Si no se resuelve el host…

      De hecho Ya.com lo hace en sus DNS. Si no se resuelve el host te muestra una página con anuncios muy "guays" y te redirige a la página que a ellos les parezca en X segundos. De hecho en su momento lo anunciaron como un "servicio extra", si no recuerdo mal.

      • Eso mismo hace opendns... y en algún que otro momento vi que…

        Eso mismo hace opendns... y en algún que otro momento vi que intentan reemplazar los anuncios de google por los suyos propios ;)

    • BocaDePez BocaDePez
      6

      pOsiblemente la compañia de publicidad tenga problemas de…

      pOsiblemente la compañia de publicidad tenga problemas de seguridad, pero ese no es el problema. El problema lo has comentado, dijiste : O sea, que cuando la direccion no existia el DNS al que consultabas te mandaba a una pagina de una compañia de publicidad?

    • BocaDePez BocaDePez
      6

      J*der ... si lo he entendido yo bien ... la noticia no tiene…

      J*der ... si lo he entendido yo bien ... la noticia no tiene nada que ver ni con el título, ni con el contenido. Tan sólo que hay jetas chapuzas que no hacen bien ni su trabajo ni sus chanchullos, como ha pasado siempre.

      • Pues lo has entendido mal, es sencillamente un fallo de…

        Pues lo has entendido mal, es sencillamente un fallo de seguridad en el codigo de los servidores dns de internet, que se ha detectado como se detectan tantos otros en apache, phpnuke, etc, solo que este es especialmente grave porque los servidores dns desenpeñan un papel crítico en la navegación.

        Se parchea y listo.

        • BocaDePez BocaDePez
          6
          Gracias por rectificarme. Ahora sólo me queda "insultarme" a…

          Gracias por rectificarme. Ahora sólo me queda "insultarme" a mí mismo por no fijarme más.

          Cargué el enlace del primer comentario pensando que era una fuente de la noticia ... y no miré la fecha. En ese caso (hace casi 3 meses) sí que podría corresponder lo de "jetas chapuzas que no hacen bien ni su trabajo ni sus chanchullos". Mis disculpas por lo de "la noticia no tiene nada que ver ni con el título, ni con el contenido".

          Como comentario constructivo ... si hay varias compañías "parcheando", señal de que no es un error de programación (que tendría un culpable y un único software afectado) sino probablemente de diseño del protocolo. Dado que los protocolos se discuten en la RFC correspondiente, tirón de orejas para todos. El rediseño de la parte correspondiente del protocolo sí merece 6 meses de trabajo, al menos si se quiere hacer esta vez bien.

        • BocaDePez BocaDePez
          0
          Como las cucarachas. Por cada cucachara que ves hay una…

          Como las cucarachas. Por cada cucachara que ves hay una docena escondidas.

          ¿Tramitar asuntos personales por Internet? Juas, juas, juas... a la ventanilla del banco y de paso verle el canalillo a la becaria.

          • BocaDePez BocaDePez
            6
            Hostias, lo que hace la dislexia. Cucacharra no, blatodeo, o…

            Hostias, lo que hace la dislexia. Cucacharra no, blatodeo, o lo que es lo mismo... como para fiarse del dni electrónico.

    • BocaDePez BocaDePez
      6

      Eso no es cosa del servidor dns, eso sucede porque has usado…

      Eso no es cosa del servidor dns, eso sucede porque has usado un software sin garantias o visitado una web que aprovecha alguna vulnerabilidad de explorer, y ha modificado cosas en tu ordenador para que al no existir el dominio aparezca esa web en lugar del mensaje de error

      Pero es un problema tuyo y de tu pc, nada que ver con dns. La solución más sencilla es usar Firefox :)

        • Si te cambian el host te lo hacen en cualquier sistema…

          Si te cambian el host te lo hacen en cualquier sistema operativo, pero lo normal no es eso. Lo normal es que visites una web con explorer, solo eso, y desde ese momento ya tienes ese problema, cosa que no pasa con ningún otro navegador.

              • La palabra imposible no existe como tal. Simplemente es una…

                La palabra imposible no existe como tal. Simplemente es una tendencia al infinito en la que puede que 1 persona con los conocimientos adecuados y los medios necesarios pueda convertirla en posible.

                Una OpenBSD actualizada y puesta al dia y sin pijadas te puedo asegurar que de vulnerable tiene poco.

                De hecho igual se encuentra con suerte algun agujero al año y dudo mucho que si mantienes tu maquina en condiciones consigan explotarlo.

  • Pues todo el mundo a navegar

    ..."pasando" del nombre de dominio y metiendo la IP directamente. Para hablar con el banco casi que lo más seguro, ¿no?. Creo que ningún servidor DNS en España deja de ser vulnerable ahora mismo -he testado varios en esa página-. No he podido encontrar detalles del problema, por ejemplo, con un navegador configurado con una extensión que te permite ver simultáneamente el nombre de dominio y la IP de una página, ¿puedo entender que si soy redirigido fraudulentamente a otra página, vería el mismo nombre de dominio -obviamente- pero otra IP?

    • BocaDePez BocaDePez
      6

      Quote »…

      Quote »

      -------------------------------------------------------------------------------------
      metiendo la IP directamente Para hablar con el banco casi que lo más seguro, ¿no?
      ------------------------------------------------------------------------------------

      Lo mejor es ir en modo físico, a la ventanilla, para verle el canalillo a las becarias y si puedes te relacionas con alguna y le metes la IP directamente.

      Bueno, no, mejor tú habla con el banco desde Internet y así tengo menos competencia.

    • hay algo que no estais teniendo en cuenta, y es que hay…

      hay algo que no estais teniendo en cuenta, y es que hay paginas web con multiples IP's, y gracias a los servidores DNS se realiza un balanceo de carga por DNS, y tambien hay servidores web que bajo la misma IP albergan varias paginas web.

      • Tienes razón, gracias. Las páginas de múltiples IP (Google,…

        Tienes razón, gracias. Las páginas de múltiples IP (Google, sin ir más lejos) no es un problema para lo que hablamos, sin embargo varias páginas alojadas en la misma IP, sí. Pero bueno, normalmente no es el caso de un organismo público o privado donde haya que tratar con datos.

      • No te creas. Para Firefox hay varias imprescindibles:…

        No te creas. Para Firefox hay varias imprescindibles: NoScript, SafeCache, SafeHistory y FireKeeper. Para lo que hacen ésas, sí hace falta una extensión. Lo otro, de acuerdo, es una comodidad.

        • BocaDePez BocaDePez
          0
          En el Universo no hay nada ni nadie imprescindible. Como…

          En el Universo no hay nada ni nadie imprescindible. Como decía un amigo... "aquí la única solución es hacerme imprescindible" (en su trabajo con una base de datos windosera) y ahora está en el paro, jajajajaj.

          FireKeeper está en fase alfa (a lo mejor es peor el remedio que la enfermedad) y no figura en la página oficial segura de descarga https://addons.mozilla.org/

          Yo no instalaría una extensión bajada desde cualquier sitio, ni siquiera revisándole el código con lupa.

          Las demás extensiones si están en la lista oficial, pero NoScript se actualiza muy a menudo, más de lo necesario, y tiene la manía de hacerte SPAM obligándote, por defecto, a visitar su sitio web cada vez que le haces un update. Cuando prima la propaganda y el donativo voluntario... tiembla, pueblo.

          Si quieres un poco más de seguridad contra los script-kiddies y demás fauna, no contra la gente que sabe lo que hace, que esa gente, si quiere, te caga el tarro por mucha seguridad que tengas, pero afortunadamente esa gente no pierde el tiempo en esas cosas, usa Debian GNU/Linux con el Iceweasel y retocando un poco la configuración, en lugar del Firefox en Windoze lleno de extensiones... y sobre todo DEJA DE VISITAR PÁGINAS PORNO, COÑO, que ya estás mayorcito para tanta paja.

          • Imprescindible para Firefox. Como es lo que es, yo desde…

            Imprescindible para Firefox. Como es lo que es, yo desde luego no lo usaría sin eso. Que es exactamente lo que he dicho y lo que quería decir. Yo no considero la página de Maone como spam, a fin de cuentas me temo que la única superioridad que tiene Firefox sobre el resto de navegadores sobre MS es ésa. Del IceWeasel... sí, bueno, hace poco hubo una pequeña cagada en Debian, ¿no? Para eso uso Epiphany en Gnome y acabo antes, creo... Las páginas porno, por supuesto, las miro a través de Spybye. Incluyendo en las páginas porno a la prensa generalista xD

  • BocaDePez BocaDePez
    6

    Eso siempre ha existido y lo han usado los gusanos y espias…

    Eso siempre ha existido y lo han usado los gusanos y espias pero a nivel local con el fichero de hosts en windows.

    A nivel de carriers y compañías se suponen que los routers que son resolvedores de dominio son seguros y que nadie puede acceder a ellos, por lo que esa vulnerabilidad que ha sido muchas veces pensada, no es posible.

    No se que tiene de nuevo me he impresionando al leer algo tan trivial...

    Quien no ha hecho esto con el Cain en una red local?, usando este programa en modo promiscuo entre un pc y otro (router de la red y todos los pc's) al cambiar la tabla arp, podías modificar los paquetes de peticiones dns es decir el pc escucha respondia antes al paquete que el router y engañabas la resolución dns del pc victima, probarlo en vuestra lan si quereis.

    Saludos!!

  • BocaDePez BocaDePez
    6

    Mejor se lo agradeceis a Dan Kaminski que ha sido el…

    Mejor se lo agradeceis a Dan Kaminski que ha sido el verdadero descubridor y no ha querido cobrar NINGUN DERECHO DE PROPIEDAD INTELECTUAL. Eso es un verdadero heroe.

    • BocaDePez BocaDePez
      6

      Como Cristóbal Colón, que descubrió America... pero otra…

      Como Cristóbal Colón, que descubrió America... pero otra gente, entre ella los indígenas americanos y los vikingos ya habían estado allí. Unos se llevan la fama y otros el provecho.

      Como tú no sabes de lo que estoy hablando... échale flores a tu héroe.

  • 6 meses... joe.. y luego nos quejamos de lo que tarda…

    6 meses... joe.. y luego nos quejamos de lo que tarda Microsoft en sacar sus parches para Windows.

    ¡Hai un galego na lua!
    Non te fies das cousas que vexas: ¡apalpaas!

    • BocaDePez BocaDePez
      6

      Que cachondo... Anda que andemos finos...   ¿No sera…

      Que cachondo... Anda que andemos finos...

      ¿No sera porque la web es de CISCO?

      Hahahaha

  • La verdad se podía explicar la noticia un poco más. El fallo…

    La verdad se podía explicar la noticia un poco más.

    El fallo fue descubierto hace varios meses, y grandes empresas de redes y sistemas, notificadas por el descubridor, y sin que saliera a la luz, se pusieron juntas a trabajar para tapar este fallo que incluian hasta ahora a la mayoría de los servidores dns de todas las plataformas.

    Y hoy es el día en el que se habían puesto de acuerdo para lanzar los parches todos a la vez saliendo a la luz la vulnerabilidad existente.

    O al menos eso es lo que he entendido yo.

    Saludos

    PD: Los DNS de Yacom por supuesto tampoco se han actualizado por el momento... Como es normal no creo que los paren a mitad del día. Además, Yacom compromete la seguridad de los DNS más aún redirigiendo a donde les da la gana si entras a una web que no existe.

    • Lo cual quiere decir, que desde hace seis meses, que se…

      Lo cual quiere decir, que desde hace seis meses, que se detectó el agujero de seguridad, todos los servidores DNS han estado indefensos. Y he ahí el peligro, porque si alguien se hubiera dado cuenta del fallo de seguridad, y lo hubiera utilizado en su propio beneficio, la cosa podría haberse puesto muy negra, por no decir negra del todo (si fallan los servidores DNS, o los servidores DNS no proporcionan la traducción correcta de las direcciones, se acabó el internet que conocemos, así de sencillo).

      Un saludo :)

    • BocaDePez BocaDePez
      6

      Exacto, perdón, debí leer el hilo entero antes de comentar lo…

      Exacto, perdón, debí leer el hilo entero antes de comentar lo de Ya.com

      Saludos!

    • BocaDePez BocaDePez
      6

      nO Se tron, yo cuando leo el doc…

      nO Se tron, yo cuando leo el doc http://www.elmundo.es/navegante/2008/04/21/tecnologia/1208795552.html que ha puesto el compi + arriba, entiendo que el problema no es por los servidores dns, el problema son los administradores de los servidores. Según el articulo cuando un usuario pregunta a uno de sus servidores y el dominio por el que pregunta no existe, el admin de dns en vez de mandarle la pagina de error le redirige a otro servidor, por qué? pues supongo que por lo mismo de siempre, pasta!

  • BocaDePez BocaDePez
    6

    A mí, en la barra de arriba en que se pueden ir…

    A mí, en la barra de arriba en que se pueden ir acumulando direcciones de webs, desde hace tiempo me figura una IP correspondiente a una dirección de una página web. El servidor muchas veces no me funciona. El otro día me dirigí a esa IP de la página web y me llevó a un servidor que decía no sé qué y no sé cuál, y no sé que de redirigir etc.. Había publicidad y pinche en una de ellas: me llevó a un Foro en turco...

1