11 de julio de 2008

DNS Cache Poisoning

Lo se, lo se, no es novedad, hace ya,,, ¿72 horas?, sino más que se publicó esta vulnerabilidad. Desconozco como lo vivisteis, bueno, eso no es del todo cierto (¿verdad des?) Pero os podéis imaginar mi cara en el momento exacto en que llegas al trabajo, y en tus 5 minutitos de rigor repasas todos los periódicos y uno por uno, El Pais, El Mundo, ABC tienen en su portada, "Importante vulnerabilidad a nivel mundial pone en alerta a los internautas" y similares. Lo primero que pensé, por supuesto, vaya exageración, seguro que no es para tanto, ¿una vulnerabilidad DNS en portada de periódicos de tirada nacional?, ¿Esta gente no conoce Security Focus?

Descubrí con asombro como, mientras los periódicos de tirada nacional publicaban la noticia, en los blogs más rápidos en actualizarse no decían nada, de hecho hasta el mismo día por la tarde Kriptopolis no se hizo eco de la noticia, en Hispasec no dijeron nada hasta el día siguiente, igual que en el blog de S21. En Security Art Work a media tarde ya habían hecho una primera valoración. Tuve la tentación de ser de los primerísimos en escribir sobre la vulnerabilidad, pero opté por esperar unos días y poder recopilar algo de información.

Lo primero, ¿qué impacto tiene esta vulnerabilidad?, El impacto es muy alto ya que es una vulnerabilidad del propio protocolo DNS, luego todos los servidores que ofrezcan servicio de DNS están afectados, es decir, Internet a nivel mundial. Recordemos que el DNS es protocolo encargado de traducir todos los nombres que tecleais en Internet, y transformarlos a direcciones IP, si esas típicas XXX.YYY.ZZZ.@@@, ¿consecuencia? vosotros podrías teclear http://www.marca.com/ y,,, ¡horror!, aparecer en la contraportada del As!!

¿Cuál es la novedad? La forma de abordar el problema, Dan Kaminsky, que ya de por sí era conocido en este mundo, posiblemente ha dado el campanazo de su carrera al descubrir (aunque sea de casualidad) esta vulnerabilidad (esto ya pasó con la penicilina, ¿no?) y saber mover a las principales multinacionales del sector para que remen todas a una en la solución de la misma. Cuando se ha publicado la noticia, los parches de Microsoft, Cisco, BIND, etc. ya están - o están comenzando a distribuirse, y tenemos un mes para actualizarnos. No obstante esto no es del todo cierto, ya que mediante ingenieria inversa es posible saber cuál es la vulnerabilidad a partir del parche, o al menos con las pistas dadas:
  • Usa generalmente UDP (por lo fácil que es spoofear una dirección IP origen).
  • Utiliza 16 bits para el transaction id.
  • No utilizar puertos UDP origen aleatorios.

Algo se podrá ir imaginando alguien... Ahora bien, en la Black Hat (Las Vegas) se publicarán todos los detalles de la vulnerabilidad. Esto suena un poco a ¡hagamos espectáculo de la seguridad! No entraré a valorar en profundidad esta actuación (que más o menos ya lo he hecho), pero me quedaré con que si sirve para que el mundo se fije durante 1 dia en la Seguridad Informática, y tome conciencia de la debilidad de Internet (huy lo que he dicho), a mí me vale.

Medidas, para que la gente se relaje, que sé que algunos estais sin dormir desde entonces, acceder a http://www.doxpara.com/ y verificad que efectivamente, sois vulnerables.

Me quiere, no me quiere, me quiere,,, ¡Me quiere!

Puesto que casi todos teneis Windows, en el Windows Update tendréis disponible muy probablemente el parche:

  • MS08-037 - addresses a vulnerability in DNS (Windows)(KB 953230)
Que lo aplicais, y ya podréis dormir un poco más tranquilos, pero recordar, ¡siempre con un ojo abierto! Y para los que no podais dormir, a partir de ahora menos Brain Training y más memorizar IP's :-P

Salud2!

1 comentarios:

des dijo...

¿Qué tal GigA? La verdad es que me impactó el sensacionalismo que se le ha dado al asunto. Veo muy bien que se haya llevado en secreto, que los principales fabricantes se hayan puesto de acuerdo para sacar una actualización el mismo día, que se espere un tiempo para dar a conocer los detalles. Pero me parece sensacionalista la publicación en muchos medios que normalmente no se hacen eco de problemas de este tipo.