• Tweet

Cientos de miles de servidores en la intenet están en riesgo de sufrir un ataque que pueda redirigir sitios Web desconocidos desde sitios Web legítimos hacia algunos sitios Web maliciosos.

En un escaneo de 2.5 millones de máquinas con Sistemas de Nombres de Dominios, que actúan como white pages en la Internet; el investigador de seguridad, Dan Kaminsky, encontró que alrededor de 230,000 máquinas son potencialmente vulnerables a la amenaza conocida como DNS Cache Poisoning.

"Las máquinas vulnerables representan casi el 10 por ciento de los servidores DNS revisados", dijo Kaminsky en una presentación la semana pasada en el evento de seguridad Black Hat, en las Vegas. "Si no estas revisando los servidores DNS, por favor empieza", agregó.

La motivación para un potencial ataque es el dinero, de acuerdo al SANS InternetStorm Center, que da seguimiento a las amenazas en las redes. Los atacantes típicamente trabajan en conjunto con programas spyware o adware, que instalan y administran en una computadora personal.

Información recabada de las víctimas, tales como números de seguro social y datos de tarjetas de crédito, también pueden ser vendidos. Adicionalmente, software maliciosos puede ser instaldo en una PC para secuestrarla y usarla para reenviar spam.

Los servidores DNS en cuestion están a cargo de compañías y proveedores de servicios de Internet para traducir direcciones de Internet basadas en texto a direciones IP numéricas. La caché en cada màquina es usada como un almacen local de información para direcciones Web.

En un ataque de DNS Caché Poisoning, reemplazan la dirección numérica de un sitio Web popular almacenado en la màquina con la dirección de los sitio Web maliciosos. El esquema redirecciona a la gente a sitios maliciosos, en donde se les puede preguntar información sensitiva o tienen que instalar software peligroso en sus PC's. La técnica también puede ser usada para redireccioar correo electrónico, dicen expertos.

Debido a que cada servidor DNS puede ser utilizado por miles de diferentes computadoras para conocer direcciones de Internet, el problema puede afectar a millones de usuarios Web, exponiéndolos a riesgos más altos de ataques de phishing, robo de identidad y otras amenazas.

Las cachés envenenadas actúan como "señales falsas a calles, que colocan para que la gente se dirija a direcciones erróneas", dijo el inventor de DNS, Paul Mockapetris, presidente y jefe de ciencia en el proveedor de seguridad DNS Nominum. "Han habido otras vulnerabilidades (en DNS) en el transcurso de los años, pero ésta es la que ahora latente y una para la cual aún no hay arreglo. Usted debe actualizar."

Hay cerca de 9 millones de servidores DNS en la Internet, dijo Kaminsky. Usando una conexión de banda ancha proporcionada por Prolexic Technologies, examinó 2.5 millones. De esos, 230,000 fueron identificados como potencialmente vulnerables; 60,000, son muy susceptibles a ser atacados, específicamente con éste tipo de ataque; y 13,000 tienen una caché que definitivamente puede ser envenenada.

Los servidores vulnerables ejecutando el popular software Berkeley Internet Name Domain de una forma insegura, deben ser actualizados, dijo Kaminsky. Los sistemas ejecutando BIND 4 o BIND 8 y que son configurados para usar forwarders para peticiones DNS; no son recomendables por el distribuidor del software.

BIND es distribuido libremente por el Internet Software Consortium. En una alerta en el sitio Web de news.zdnet, el ISC dijo, "hay un ataque a gran escala ... la corrupción de la caché en el DNS". Todos los servidores de nombres usados como forwarders deben ser actualizados a BIND 9, dijo el grupo.

DNS cache poisoning no es nuevo. En marzo, el método del ataque fue usado para redireccionar a la gente que intetaba visitar sitios Web populares tales como CNN.com y MSN.com, a sitios maliciosos que instalaron spyware, de acuerdo al SANS.

"Si mi ISP está ejecutando BIND 8 en una configuración forwarder, yo debo intuir que no me están protegiendo en la forma que lo deberían hacer", dijo Mockapetris. "El funcionamiento de esa configuración debería ser una negligencia de Internet".

La nueva amenaza - pharming.

Kaminsky revisó los servidores DNS a mediados de julio y no identificó qué organizaciones particulares tienen instalaciones DNS potencialmente vulnerables. Sin embargo, él planeo comenzar a enviar correos electrónicos a los administradores de esos sistemas, él dijo en una entrevista.

"Yo tengo un par de cientos de miles de correos electrónicos a enviar", él dijo. "Ésta es la parte no divertida de la seguridad. Pero nosotros no podemos limitarnos a la parte divertida. Nosotros tenemos que proteger su infraestructura".

El uso de DNS cache poisoning para robar información personal de las personas mediante el envío de sitios falsos es una amenaza relativamente nueva. Algunas compañias de seguridad han llamado a ésta técnica pharming.

El envenenamiento de la cache del DNS no es difícil, dijo Petur Petursson, CEO de una consultoria de Islandia y compañía de software Men & Mice. "Esto es muy conocido, y se ha realizado recientemente", añadió.

El conocimiento al rededor de los problemas de DNS en general han crecido en el par de años pasados, dijo Petursson. Hace cuatro años, Microsoft sufrió una gran interrupción en su sitio Web como resultado de una pobre configuración en el DNS. El incidente reveló en el Sistema de Nombres de Dominio un problema potencial.

"Es de sorprenderse que se encuentren miles o cientos de miles de servidores vulnerables", dijo Petursson.

La investigación de Kaminsky debe ser una llamada de atención para cualquier administrador de DNS, particularmente proveedores de banda ancha de Internet, dijo Mockapetris. Kaminsky dijo que no ha intentado usar sus investigaciones para señalar organizaciones vulnerables. Sin embargo, otras personas malintencionadas podrían realizar revisiones y encontrar objetivos de ataques, previno Kaminsky.

"Ésta tecnología es conocida ciertamente por la comunidad hacker, y sospecho que el conocimiento seguirá siendo más extenso", dijo Mockapetris.