La debilidad DNS de Dan Kaminsky

Por Fausto Cepeda

Dan Kaminsky subió recientemente a la fama en el mundo de la seguridad informática. ¿La razón? Su “infame” análisis sobre una debilidad bastante seria en el sistema DNS (responsable de traducir nombres a direcciones IP en Internet). En la conferencia ya famosa de Black Hat llevada a cabo hace unas semanas, Dan hizo por fin su presentación de la debilidad de la cual se especulaba desde el mes de julio. Por cierto varios fabricantes han publicado ya un parche para solucionar el problema (Microsoft, Solaris, IBM , etc.). Ha pasado ya la presentación de Dan en Black Hat y para los que requieren una explicación más detallada y en “cristiano” de lo que implica esta nueva vulnerabilidad de DNS, les ofrezco una página web http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html donde podrán encontrar una muy buena explicación de cómo funciona un DNS en general, así cómo el envenenamiento del DNS y finalmente una descripción del ataque que explota la debilidad descrita por Dan.

Lo que debemos saber es que la debilidad permite hacer que las computadoras vayan a un sitio falso cuando un usuario teclea www.bancoautentico.com, y desgraciadamente en este sentido estamos a merced de que los ISP (proveedores de Internet) también apliquen el parche correspondiente para que que siempre vayamos al sitio “real” y no a uno “fake”. Por cierto hoy leí una noticia de Websense donde se alerta de un envenenamiento de un ISP chino: http://securitylabs.websense.com/content/Alerts/3163.aspx

Un posible “workaround” que pudiera funcionar es teclear directamente la IP del sitio en el navegador en lugar del nombre; por ejemplo en lugar de www.amazon.com, podríamos teclear 72.21.206.5 en nuestro navegador; así no estaríamos usando el DNS. Nada fácil, así es que esperemos que los ISP hagan su trabajo y nos cubran las espaldas. Otra solución es que siempre que sea posible, verifiquemos el certificado digital del sitio visitado y estar pendientes de que existe una sesión SSL válida. Cabe mencionar que esto último es siempre un buen hábito al navegar en Internet.

Naveguen seguros y hasta la próxima.

*Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM, CCM. Es Maestro de Seguridad de la Información por la Universidad de Londres en el Reino Unido. Ha sido Consultor de Seguridad y actualmente es Analista de Sistemas en la Oficina de Seguridad Informática del Banco de México. También cuenta con la certificación de seguridad CISSP (Certified Information Systems Security Professional).

Comentarios

Publicar un comentario

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Imagen
Iniciamos esta nueva categoria: Coincidencias Desafortunadas, con el post de Filemón Alonso Miranda aka @urbanitas acerca de Goidsargi Estívalis Carranza, el Ángel de Hielo . La coincidencia desafortunada fué el AdSense de Google publicitando reparación de refrigeradores, siendo que la nota hablaba de que la asesina habia mantenido por varios días los cuerpos mutilados de su ex esposo y novio. #Toing
Leer más

Oldies Web

Imagen
Muchos de ustedes tendrán años navegando en Internet; pues bien para aquellos con melancolías por las primeras webs que alguna vez visitaron, es que les paso el siguiente tip: Vía el web Internet Archive Wayback Machine es posible visualizar versiones viejas de páginas web con teclear la dirección URL y seleccionar la fecha de interés. Ello puedes hacerlo siempre y cuando, en la cache del servidor host del sitio web de interés, se siga guardando la información de la versión añeja del web. Anexo una captura de pantalla de ejemplo donde observamos cómo se veía Google! Beta en Diciembre 2 de 1998.
Leer más