Grave vulnerabilidad en la implementación del protocolo que "sustenta" Internet

Permalink 09.07.08 @ 21:50:29. Archivado en Vulnerabilidades, Actualizaciones


Toda vulnerabilidad es importante y tiene un potencial impacto en la red. Sin embargo, cuando hablamos de la resolución de nombres y de problemas en los servidores DNS, la gravedad se multiplica porque se supone que los servidores DNS sustentan la red.

Fuente: hispasec

La navegación, el correo y cualquier traducción dominio-IP se realiza en los servidores DNS. Casi todo dispositivo conectado a Internet necesita resolver nombres. Un fallo en este protocolo hace que toda la infraestructura de la red se tambalee. Quien domine la resolución de nombres, domina Internet.Presuntamente un fallo de este tipo es lo que parece que se ha descubierto.

Las bases del problema descubierto no son nuevas, y no se trata de un fallo en la implementación de un fabricante en concreto. Más bien, se trata de una nueva forma de engañar a los servidores DNS para que den respuestas falsas, gracias a un fallo inherente del protocolo. No se han dado detalles técnicos sobre el problema.

El descubridor Dan Kaminsky ha llevado en secreto su investigación durante meses, esperando a que todos los grandes fabricantes implicados se pusiesen de acuerdo para programar una solución y publicar los parches correspondientes. El 8 de julio ha sido el día elegido.

El protocolo DNS y los programas que lo implementan se han visto lacrados desde siempre con múltiples problemas de seguridad. Por varios métodos distintos:

* Atacando al servidor a través de un desbordamiento de búfer, inyectar código o accediendo al servidor para modificar las zonas. Aunque esto es ya menos común, durante los años 90, BIND el programa casi estándar de facto en servidores DNS, sufrió de muchas vulnerabilidades de este tipo.

* Envenenamiento de la caché de los servidores. Un atacante puede montar su propio servidor DNS y "mentir" a un servidor DNS legítimo que le pregunta por registros que no tiene (los servidores DNS se preguntan constantemente entre sí para actualizar sus datos y redireccionar
correctamente todos los dominios a las mismas direcciones). Esta transferencia contiene datos falsos que resuelven incorrectamente las preguntas de los clientes. El servidor legítimo almacena esa información falsa un tiempo en su caché (para ganar tiempo en la próxima resolución) y así las víctimas pueden ser enviadas a otro sitio.

* Falsificación del ID. Este método consiste en hacerse pasar por la respuesta legítima de un servidor DNS. El cliente que ha hecho una pregunta recibe directamente una respuesta falsa de un atacante.

Estos dos últimos métodos han sido muy populares también en los últimos años, con numerosas técnicas que permitían llevar a cabo el ataque. Bien por fuerza bruta (bombardeando con peticiones) bien por fallos de implementación del protocolo. Pero no termina de solucionarse porque en realidad, el protocolo DNS no utiliza generalmente métodos de autenticación. Para que un servidor DNS responda una consulta, no es necesario autenticarse de ninguna forma. La manera de distinguir entre consultas entre sí, está basada únicamente en tres datos: puerto UDP de origen, IP y DNS ID.

Históricamente se han realizado muchos experimentos que permiten o bien adivinar o deducir tanto el puerto origen UDP desde el que se ha realizado una consulta como el identificador de transacción y así poder falsificar respuestas y que el cliente vaya a una dirección IP falsa.

Este último descubrimiento, al parecer, tiene que ver una vez más con la posibilidad de conocer el número de identificador DNS y poder así envenenar la caché de los servidores. Este campo dispone sólo de 16 bits de "espacio" en la cabecera de un paquete e identifica de forma única una petición.

Las posibilidades son de unas 32.000. Con el tiempo, se han ido añadiendo mejoras para evitar la fuerza bruta y hacer más compleja la posibilidad de conocer este identificador, pero el método "de base" usado sigue siendo el problema.

No se han dado detalles técnicos sobre el fallo descubierto, aunque sí se sabe que los parches añaden entropía al cálculo de este identificador para que resulte mucho más complejo predecirlo de alguna forma. Así que puede que no sea un fallo totalmente nuevo (la debilidad de confiar en un número tan pequeño de posibilidades se conoce desde hace años) sino quizás alguna forma novedosa de aprovecharlo que lo hace más sencillo y por tanto, peligroso.

Hasta ahora, Cisco, Microsoft, BIND y otras muchas distribuciones Linux han publicado sus respectivas actualizaciones, en un esfuerzo sincronizado y secretismo coordinado no vistos hasta la fecha. Dan Kaminsky (que al parecer se topó con el problema de forma casual) pretende dar los detalles en la conferencia Black Hat de agosto.

En cualquier caso, y aunque el fallo sea importante, también es cierto que hace años, cuando los ataques de este tipo eran más sencillos y factibles que hoy en día, nunca se ha observado que hayan sido llevados a la práctica de forma masiva o generalizada por atacantes.

Se recomienda a todos los administradores que parcheen sus sistemas cuanto antes.

Más información:

Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113

CERT VU#800113 DNS Cache Poisoning Issue
http://www.isc.org/index.pl?/sw/bind/bind-security.php

Sergio de los Santos
ssantos@hispasec.com

Enlace permanente Hacer comentarioTrackback (0)
Dirección para hacer trackback a este post:
http://blogs.periodistadigital.com/btbf/trackback.php/177784
Comparte esta información
  • delicious
  • meneame
  • digg
  • yahoo
  • talk bubble

Comentarios, Trackbacks, Pingbacks:

Aún no hay Comentarios/Trackbacks/Pingbacks para este post...

Se muestran únicamente los últimos 40 comentarios de cada post.

Hacer comentario:
Normas de etiqueta en los comentarios
Desde PERIODISTA DIGITAL les animamos a cumplir las siguientes normas de comportamiento en sus comentarios:
  • Evite los insultos, palabras soeces, alusiones sexuales, vulgaridades o groseras simplificaciones
  • No sea gratuitamente ofensivo y menos aún injurioso.
  • Los comentarios deben ser pertinentes. Respete el tema planteado en el artículo o aquellos otros que surjan de forma natural en el curso del debate.
  • En Internet es habitual utilizar apodos o 'nicks' en lugar del propio nombre, pero usurpar el de otro lector es una práctica inaceptable.
  • No escriba en MAYÚSCULAS. En el lenguaje de Internet se interpretan como gritos y dificultan la lectura.
Cualquier comentario que no se atenga a estas normas podrá ser borrado y cualquier comentarista que las rompa habitualmente podrá ver cortado su acceso a los comentarios de PERIODISTA DIGITAL.
Tu email no se mostrará en la página.
etiquetas XHTML permitidas: <p, ul, ol, li, dl, dt, dd, address, blockquote, ins, del, span, bdo, br, em, strong, dfn, code, samp, kdb, var, cite, abbr, acronym, q, sub, sup, tt, i, b>
URLs, email, AIM y ICQs serán convertidos automáticamente.
Opciones:
 
(Saltos de línea se convierten en <br />)

Blogs
Poder y dinero

Poder y dinero

Salen los pecados de familia del clóset: grandes deudas en dólares cimbran empresas

Víctor Sánchez Baños
Ole maños, ole

Ole maños, ole

Previa Real Zaragoza – Alavés

Ignacio Pablo Cerdán
La hora de la verdad

La hora de la verdad

Don Jesús Catalá

Miguel Ángel Malavia
Hermosillo

Hermosillo

Ejecutan a voceador de periódicos

Efrén Mayorga
Tu jefe te vigila

Tu jefe te vigila

El ahorro de energía es cosa de todos

Carlos Ferrer
Columna de humo

Columna de humo

Me gustaría ser Emilio Rodríguez Menéndez (R)

Pedro de Hoyos
Punto de vista

Punto de vista

Pánico en la bolsa

Vicente Torres
Dinero

Dinero

La mayor caída de la historia del Ibex, un 9%, provoca un desplome semanal del 21%

Dinero
Desde México: el blog de Ricardo Próspero

Desde México: el blog de Ricardo Próspero

El encuentro de la teología filosófica clásica con la teología prehispánica

Ricardo Próspero Morales
Diálogo sin fronteras

Diálogo sin fronteras

Zapatero contra la pena de muerte y a favor del aborto

Carmen Bellver
La Marea de Pérez Henares

La Marea de Pérez Henares

¿Quien rescata a los parados?

Antonio Pérez Henares
Entre el Cielo y la Tierra

Entre el Cielo y la Tierra

LA MUERTE

Francisco Baena Calvo
24/7

24/7

El Gobierno sandinista amenaza la libertad de prensa y expresiójn en Nicaragua
Voto en Blanco

Voto en Blanco

UPyD: la luz en el tunel

Francisco Rubiales
El Código XY

El Código XY

El cibersexo estimula los cuernos, las pajas y los líos

Silvia Cañella
Familia Salvatoriana

Familia Salvatoriana

Gobierno sordo a la ley del Aborto ...negocio, Intereses?

José María Rodanés Martínez
Personalidad 2.0

Personalidad 2.0

Premios Guinness 2008: las piernas más largas del mundo, el gazpacho más grande y el domador más joven

Medio Ambiente

Medio Ambiente

El volcán de laboratorio

Medio Ambiente
Ciencia

Ciencia

La Soyuz está lista para despegar el domingo rumbo a la EEI

Periodista Digital
El blog de Alicia Antolín de la Hoz

El blog de Alicia Antolín de la Hoz

¿Cuanto nos ha costado la fulgurante carrera operística y demás excetricidades de la Señora del Presidente?

Alicia Antolín de la Hoz
Haz de PD tu página de inicio | Sugerir enlace | Informa a un amigo | ¿Quiénes somos? | Cartas al Director | Publicidad | Buzón de sugerencias | Denuncias | Publicidad
Periodista Digital, SL CIF B82785809
Avenida de Asturias, 49, bajo - 28029 Madrid (España)
Tlf. (+34) 91 732 19 05
Aviso Legal | Cláusula exención responsabilidad

redaccion@periodistadigital.com Copyleft 2000

 b2evolution Creative Commons License
This work is licensed under a Creative Commons License. Noticias Periodista Digital | Periodista Latino | Reportero Digital | Ciudadano Digital | Chistes, Videos y Poesias