Cold Alchemy

Como explico en el titulo, parece que se ah descubierto una vulnerabilidad en varios servidores DNS bastante importantes, al parecer ese fallo lleva ahí desde hace tiempo; pero nadie lo había descubierto (o en su respectivo caso reportado). Este fallo parece ser grave, aunque ya ah sido parcheado en muchos servidores. Inclusive fue publicado por empresas muy importantes y del cual bastante trafico de la red resinden. Empresas tales como Cisco, Sun, Red Hat, Debian, Microsoft, entre otros ya han parcheado sus servidores. Las persona que encontro el fallo Dan Kaminsky escritor del blog doxpara, tambien creador de la suite Paketto (muy recomendada si te gusta hacer cosas avanzadas con el protocolo TCP/IP, solo para Linux ^_^ ) ah publicado que desde su descubrimiento parece que no ah resindido el caos como se esperaba, todo ah transcurrido tranquilamente y nadie se ah tirado por la ventana aun.

Pero que es lo grave de un fallo DNS?
Un DNS como su acrónimo lo indica es un Sistema de Dominio de Internet por sus siglas en ingles (Domain Name System), lo que hace es redirigir las IP's a un nombre de dominio, para que sea mas fácil recordar un ejemplo seria que la siguiente IP [72.14.207.99] va dirigida a google, pero la gente común recuerda que google se escribe google y no 72.14.207.99 a menos que seas muy geek y te guste escribir la IP, lo común sera escribir http://www.google.com en tu barra de direcciones. Ahora explico lo que es el fallo DNS, el ataque mas comun es a lo que se le llama en el mundo de la seguridad de redes informáticas como un ataque XSS (Cross Site Scripting por sus siglas en ingles), este tipo de ataque lo que hace es que modifica la dirección final de el nombre de dominio y puede causar graves problemas, ya que una dirección como la de un banco puede ser redirigida a un servidor que no tiene nada que ver con el banco, pero que fue diseñado para mostrar una pagina que es muy similar (si no idéntica) a la del banco a la que se esta tratando de acceder, y de esa manera capturar los datos de la victima, a esto se le llama un ataque spoofing los cuales son muy comunes por ataques enviados por correo electrónico. El único problema es que ahora es que el fallo ahora se ubica dentro del servidor y no del lado del cliente como sucede comúnmente.



















Pero tengo Antivirus, AntiSpyware, AntiSpam y mi computadora esta actualizada al tope, me tengo que preocupar?
Como escribí ahorita este fallo se encuentra del lado del servidor asi que no importa si tu computadora tiene lo mas nuevo, y este corriendo algún S.O. que solo su creador conoce. Este fallo hace vulnerables las paginas. Pero por el momento, ya bastantes servidores han corregido el fallo con sus respectivos parches. Si quieres saber si tu ISP (que es el que comúnmente genera tu servicio de DNS) esta vulnerable puedes revisar en la pagina de DoxPara (clickando el botón que dice "Check DNS", si tu servidor resulta vulnerable, deverias de apresurar a tu ISP o quien te este dando el servicio de DNS para que utilice DNSSEC, que es la única solución conocida hasta el momento.

Si necesitas mas información acerca de los fallos puedes visitar los siguientes links

Security Focus, Research confirm DNS Exploit; 2008-07-10
US Homeland Security, US-CERT Vulnerability note, 2008-07-08
DShield, Multiple Vendor DNS Spoofing Vulnerability, 2008-07-08
Kriptópolis, Fallo crítico en DNS obliga a parchear toda Internet, 2008-07-09

Internet-map, imagen Bajo licencia Creative Commons.