Descubiertos los detalles de la vulnerabilidad en el protocolo DNS


Desde el 8 de julio se está produciendo uno de los episodios más curiosos vividos nunca en la red. Se publicó ese día una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se dijo que había sido descubierta una vulnerabilidad que permitía falsificar las respuestas DNS, y por tanto redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizaron sus sistemas y se intentó mantener los detalles técnicos de la vulnerabilidad ocultos, por la gravedad y el potencial impacto que podría suponer. Finalmente, dos semanas después, se conocen los detalles.

Toda vulnerabilidad es importante y tiene un potencial impacto en la red. Sin embargo, cuando hablamos de la resolución de nombres y de problemas en los servidores DNS, la gravedad se multiplica porque se supone que los servidores DNS sustentan la red. Dan Kaminsky había descubierto un fallo de base en el protocolo que permitía a cualquiera falsificar las respuestas de un servidor. No era problema de ningún fabricante sino de casi todos, un fallo de diseño de un estándar usado en todo Internet. En un importante esfuerzo de coordinación todos los grandes fabricantes están publicado sus actualizaciones desde el día 8 de julio.

Pero Dan Kaminsky no daba detalles sobre el asunto. Era demasiado grave y pensaba que sería irresponsable proporcionar esa información sin dar suficiente tiempo a todos los administradores para actualizar. Del parche no se podía deducir el problema puesto que simplemente añadía aleatoriedad y entropía a ciertos valores que desde hace mucho se sabía que no eran la mejor solución para asegurar el protocolo. Es por esto que se apostaba desde un principio por que la vulnerabilidad de Kaminsky se tratara en realidad de una nueva forma más eficaz de engañar a los servidores DNS para que den respuestas falsas, gracias a un fallo inherente del protocolo (y así ha sido).

Kaminsky daría los detalles un mes después, en la conferencia Black Hat de agosto. Por una parte, el descubridor estaba siendo responsable (dando tiempo a los administradores) pero tremendamente mediático por otra (creando una expectación exagerada en torno a la conferencia). Todo esto, ayudado por la desinformación de los medios generalistas ha ayudado a que la desconfianza siguiese creciendo. Todos defendían su teoría: desde el escéptico hasta el que hablaba de la debacle de la Red. Sólo un grupo de personas concretas conocía los detalles técnicos, y tenían instrucciones de no revelarlos y de evitar las especulaciones públicas. Kaminsky pretendía así ingenuamente asegurarse que sólo él daría los detalles cuando lo tenía planeado, cumpliendo así la segunda parte de su plan una vez publicadas las actualizaciones. Imposible… poco después las listas estaban llenas de comentarios y elucubraciones…sigue

LEER mas en hispasec.com

Kerfuffle erupts as DNS flaw described
http://www.securityfocus.com/brief/779

Reliable DNS Forgery in 2008
http://amd.co.at/dns.htm

On Dan’s request for “no speculation please”
http://addxorrol.blogspot.com/2008/07/on-dans-request-for-no-speculation.html

Regarding The Post On Chargen Earlier Today
http://www.matasano.com/log/1105/regarding-the-post-on-chargen-earlier-today/

Anuncios

Una respuesta a “Descubiertos los detalles de la vulnerabilidad en el protocolo DNS

  1. Pingback: Las amenazas que explotan las brechas de seguridad en el DNS se ciernen sobre la Red « Portalhispano’s Weblog

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s