La debilidad DNS de Dan Kaminsky

Por Fausto Cepeda

Dan Kaminsky subió recientemente a la fama en el mundo de la seguridad informática. ¿La razón? Su “infame” análisis sobre una debilidad bastante seria en el sistema DNS (responsable de traducir nombres a direcciones IP en Internet). En la conferencia ya famosa de Black Hat llevada a cabo hace unas semanas, Dan hizo por fin su presentación de la debilidad de la cual se especulaba desde el mes de julio. Por cierto varios fabricantes han publicado ya un parche para solucionar el problema (Microsoft, Solaris, IBM , etc.). Ha pasado ya la presentación de Dan en Black Hat y para los que requieren una explicación más detallada y en “cristiano” de lo que implica esta nueva vulnerabilidad de DNS, les ofrezco una página web http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html donde podrán encontrar una muy buena explicación de cómo funciona un DNS en general, así cómo el envenenamiento del DNS y finalmente una descripción del ataque que explota la debilidad descrita por Dan.

Lo que debemos saber es que la debilidad permite hacer que las computadoras vayan a un sitio falso cuando un usuario teclea www.bancoautentico.com, y desgraciadamente en este sentido estamos a merced de que los ISP (proveedores de Internet) también apliquen el parche correspondiente para que que siempre vayamos al sitio “real” y no a uno “fake”. Por cierto hoy leí una noticia de Websense donde se alerta de un envenenamiento de un ISP chino: http://securitylabs.websense.com/content/Alerts/3163.aspx

Un posible “workaround” que pudiera funcionar es teclear directamente la IP del sitio en el navegador en lugar del nombre; por ejemplo en lugar de www.amazon.com, podríamos teclear 72.21.206.5 en nuestro navegador; así no estaríamos usando el DNS. Nada fácil, así es que esperemos que los ISP hagan su trabajo y nos cubran las espaldas. Otra solución es que siempre que sea posible, verifiquemos el certificado digital del sitio visitado y estar pendientes de que existe una sesión SSL válida. Cabe mencionar que esto último es siempre un buen hábito al navegar en Internet.

Naveguen seguros y hasta la próxima.

*Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM, CCM. Es Maestro de Seguridad de la Información por la Universidad de Londres en el Reino Unido. Ha sido Consultor de Seguridad y actualmente es Analista de Sistemas en la Oficina de Seguridad Informática del Banco de México. También cuenta con la certificación de seguridad CISSP (Certified Information Systems Security Professional).

Comentarios

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Franklin EVDO USB Modem Review - CDU 680