Fallo crítico en DNS pone en jaque a todo internet

lucasan · #1 (**permalink**) 11/07/2008, 23:56

Copio y pego desde Genbeta

Cita:

DNS es básicamente el sistema de traducción de direcciones IP a nombres de dominio, y viceversa. Cualquier fallo en este sistema es lógicamente muy grave, y hace unos días fue encontrada una gravísima vulnerabilidad que podría estar ahí desde hace mucho tiempo.

En Kritópolis han recopilado mucha información referente a este fallo. El experto en seguridad Dan Kaminsky parece ser el que se ha llevado toda la fama del descubrimiento, y en su blog informa de que la cosa ya va sobre ruedas, prácticamente todo el mundo ha publicado sus parches de seguridad y están siendo aplicados rápidamente, sin que nadie esté aprovechando el agujero. Desde su web también puedes comprobar en un momento si el servidor DNS que estás usando está afectado o no, gracias a su DNS Checker.

El descubrimiento ha provocado que las mayores empresas y organizaciones de la red estén trabajando duramente para dar soluciones lo antes posible. Para dar una idea de cuál es la envergadura de las organizaciones que están intentando arreglar el problema tan sólo hay que nombrar las notas que han publicado Microsoft, Sun, Red Hat, Debian, Cisco...

La verdad no he entendido en que consiste el fallo pero parece ser muy importante. Hay mas información pero en inglés. Si alguien se anima a explicarnos...

Saludos.

#2 (**permalink**) 13/07/2008, 10:36

A ver, por lo que he entendido después de buscar mucho, la cosa es así:

No es un "fallo", sino una debilidad en el protocolo DNS.
Para hacerlo lo más rápido y eficiente posible no usa TCP, que es un protocolo que requiere una conexión entre servidores, sino UDP, que es un protocolo en el que no hay conexión sino simplemente paquetes enviados entre 2 puntos.

¿Cómo funciona el DNS?
Es bastante sencillo, el navegador hace una petición a un servidor DNS (servidor1) para conocer la IP de cierto dominio.
Dado el funcionamiento del protocolo DNS, si servidor1 no conoce al dominio por el que el cliente le pregunta, tendrá que conectarse con un servidor de jerarquía igual o superior (servidor2) para obtener la información (servidor1 conoce a servidor2 de antes).
Ahora, como no existe una conexión, servidor1 simplemente envía un paquete UDP hacia la IP de servidor2, y espera la respuesta.

Y aquí está la debilidad del protocolo: el primer paquete que llege a servidor1 proveniente de la IP de servidor2 y al puerto de servidor1 desde el que salió la petición original, será considerado como válido.

Los ataques de este tipo consisten en hacer eso: sustituir a servidor2 y enviar un paquete de respuesta falso. Esta debilidad es conocida desde hace mucho tiempo ya.

Los factores mitigantes de riesgo son:
- El uso de un puerto aleatorio por parte del servidor para enviar sus peticiones
- El tiempo de respuesta: se considera 1 segundo como tiempo máximo de vida de la petición
- El uso de otro campo, un identificador entero de 16 bits (entre 0 y ~65000) que es enviado por el servidor1 en la petición original y que debe ser devuelto por servidor2 para que la respuesta se considere válida.

Hasta aquí, nada nuevo. Se sobreentiende que el ataque funciona por "bombardeo", el atacante envía muchas respuestas falsas a un servidor esperando atinar el número de puerto y el identificador de 16 bits.

Lo que ha sucedido es que muchos servidores DNS no utilizan un número de puerto aleatorio o tienen un rango pequeño de puertos entre los que elegir. Ese es uno de los problemas que se han parcheado en la última ola de histeria que parece haber provocado este anuncio.

El investigador mencionado por la nota dice haber descubierto una forma de hacer estos ataques mucho más peligrosos y sencillos. Pero es importante notar que aún no ha dado detalles (aparentemente se los dio a las empresas para que crearan sus parches) por lo que, por ahora, no hay nada nuevo con respecto a esta debilidad y no hay nada de qué preocuparse (aunque instalar los parches no está de más).

A ver si alguien conoce algo más del tema y puede explicar algún detalle que se me escape.

Saludos.

lucasan · #3 (**permalink**) 13/07/2008, 18:09

[broma]Definitivamente el que sabe sabe, y el que no, hace páginas web jejeje

[/broma]

alvlin, que buena explicación, me sacaste de la duda que me generó la noticia.

Gracias.

Koveart · #4 (**permalink**) 14/07/2008, 07:51

La idea básica después de la maravillosa explicación de alvlin es que se puede hacer phising sin necesidad de enviar correos individuales para que caigan los ingenuos sino simplemente explotando esta vulnerabilidad se pueden conducir las víctimas hacia paginas falsas a pesar del usuario haber digitado la url bien en el navegador.

Saludos

#5 (**permalink**) 22/07/2008, 13:39

Aparentemente, un investigador publicó el problema antes de que el descubridor original lo hiciera público en la Black Hat. Dejo el enlace, MUY interesante.

http://thefrozenfire.com/data/dnspoisoning.html

Saludos.

tilu · #6 (**permalink**) 23/07/2008, 09:20

Acabo de chequear mi servidor en este enlace http://www.squish.net/dnscheck/ y aparentemente va bien

Koveart · #7 (**permalink**) 23/07/2008, 09:36

La pagina para comprobar el servidor DNS que se esta usando es la pagina del señor que descubrio esa vulnerabilidad, y ahora es mas famoso que el chorizo, un tal señor Kaminsky. Su pagina es www.doxpara.com

Saludos

#8 (**permalink**) 23/07/2008, 09:54

¿salvó a internet? difícil ser más sensacionalista

Koveart · #9 (**permalink**) 23/07/2008, 10:15

Eso de salvar internet es el extremo drastico de cómo los poco conocedores del tema ven a este señor. La vulnerabilidad de los DNS's es un fallo global pero de ahí a que sea algo crítico dista muchísimo, pero como dicen por ahí cuando uno no sabe de algo a veces es mejor callarse, lo digo por los que proclamaron a Kaminsky como el salvador de todos nosotros internautas.

Saludos

tilu · #10 (**permalink**) 23/07/2008, 13:20

Cita:

Iniciado por Koveart

La pagina para comprobar el servidor DNS que se esta usando es la pagina... ... www.doxpara.com

Saludos

Lo comprobé en ese enlace y el resultado fue:

Cita:

Your name server, at xxx.xxx.xxx.xxx, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: xxxxx

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.

A alguno de ustedes le habrá dado otro resultado?

Koveart · #11 (**permalink**) 23/07/2008, 14:50

De hecho yo ahora administro los DNS's de una universidad y como me di cuenta de la vulnerabilidad yo le coloqué los parches y esto es lo que me aparece a mi...

Cita:

Your name server, at X.X.X.X, appears to be safe, but make sure the ports listed below aren't following an obvious pattern

Los servidores DNS's que tú, tilu estas usando son vulnerables segun colocaste en tu reporte.

Saludos

j_aroche · #12 (**permalink**) 23/07/2008, 16:13

Pues al final ya se supo algo mas del fallo, bastante detallado:

http://tinyurl.com/567kme

Al rato de publicado lo borraron jeje

#13 (**permalink**) 23/07/2008, 17:13

javier, pusiste un enlace no al mismo sitio pero sí al mismo contenido que puse yo