Internet se arregla, se corrige el error DNS

Los creadores del software utilizado para conectar computadoras en Internet lanzaron actualizaciones de software colectivamente el martes para corregir un error grave en uno de los protocolos subyacentes de Internet, el Sistema de nombres de dominio (DNS).

El error fue descubierto "por completo accidente" por Dan Kaminsky, investigador del proveedor de seguridad IOActive. Kaminsky, un antiguo empleado de Cisco Systems, ya es conocido por su trabajo en redes.

Al enviar ciertos tipos de consultas a servidores DNS, el atacante podría redirigir a las víctimas fuera de un sitio web legítimo, por ejemplo, Bofa..com - a un sitio web malicioso sin que la víctima se dé cuenta. Este tipo de ataque, conocido como envenenamiento de memoria caché DNS, no afecta solo a la Web. Podría usarse para redireccionar todo el tráfico de Internet a los servidores del hacker.

[Más información: cómo eliminar el malware de su PC con Windows]

El error podría ser explotado "como un ataque de phishing sin enviarle un correo electrónico, "dijo Wolfgang Kandek, director técnico de la compañía de seguridad Qualys.

Aunque esta falla afecta a algunos enrutadores domésticos y software DNS cliente, es sobre todo un problema para usuarios corporativos e ISP (proveedores de servicios de Internet) que ejecutan los servidores DNS utilizados por PC para encontrar su camino en Internet, dijo Kaminsky. "Los usuarios domésticos no deberían entrar en pánico", dijo en una conferencia telefónica el martes.

Después de descubrir el error hace varios meses, Kaminsky inmediatamente reunió a un grupo de 16 expertos en seguridad responsables de productos DNS, que se reunieron en Microsoft el 31 de marzo para encontrar una manera de solucionar el problema. "Me puse en contacto con los otros chicos y les dije: 'Tenemos un problema'", dijo Kaminsky. "La única forma en que podríamos hacer esto es si tuviéramos una versión simultánea en todas las plataformas".

La corrección masiva de errores se produjo el martes cuando varios de los proveedores de software DNS más ampliamente utilizados lanzaron parches. Microsoft, Cisco, Red Hat, Sun Microsystems y el Consorcio de Software de Internet, fabricantes del software de servidor DNS más utilizado, han actualizado su software para solucionar el error.

El BIND de código abierto del Internet Software Consortium (Berkeley Internet Name Dominio) funciona en aproximadamente el 80 por ciento de los servidores DNS de Internet. Para la mayoría de los usuarios de BIND, la solución será una actualización simple, pero para el 15% estimado de los usuarios de BIND que aún no se han movido a la última versión del software, BIND 9, las cosas pueden ser un poco más difíciles.

Eso es porque las versiones anteriores de BIND tienen algunas características populares que se cambiaron cuando se lanzó BIND 9, según Joao Damas, gerente senior del programa para Internet Software Consortium.

El error de Kaminsky tiene que ver con la forma en que los clientes y servidores DNS obtienen información de otros servidores DNS en Internet. Cuando el software DNS no conoce la dirección numérica de IP (Protocolo de Internet) de una computadora, solicita esta información a otro servidor DNS. Con el envenenamiento de caché, el atacante engaña al software DNS para hacerle creer que dominios legítimos, como Bofa.com, asignan direcciones IP maliciosas.

Los investigadores de seguridad ya saben desde hace algún tiempo cómo lanzar estos ataques de envenenamiento de caché contra servidores DNS, pero normalmente estos ataques requieren que los atacantes envíen una gran cantidad de datos al servidor DNS que intentan infectar, lo que hace que los ataques sean más fáciles de detectar y bloquear. Sin embargo, Kaminsky descubrió una forma mucho más efectiva para lanzar un ataque exitoso.

Debido a que la falla de Kaminsky radica en el diseño del DNS, no hay una manera fácil de solucionarlo, dijo Damas. En cambio, compañías como ISC han agregado una nueva medida de seguridad a su software que hace que sea más difícil que funcione el envenenamiento de caché. A la larga, sin embargo, la forma más efectiva de lidiar con el envenenamiento de caché será adoptar un sistema más seguro versión de DNS, llamada DNSSEC, dijo Danny McPherson, director de investigación de Arbor Networks. El arreglo del martes es básicamente "un truco que lo hace mucho más difícil", dijo. "Pero no soluciona el problema de raíz".

Kaminsky dice que les dará a los administradores de red un mes para actualizar su software antes de revelar más detalles técnicos sobre la falla en la conferencia Black Hat del próximo mes en Las Vegas. Mientras tanto, ha publicado un código en su sitio web que permite a los usuarios ver si el servidor DNS de su empresa o ISP ha sido parcheado.