Kaminsky: muchas formas de atacar con DNS

Hubo Llamadas a las 6 am de las autoridades certificadoras finlandesas y también algunas palabras bastante duras de sus pares en la comunidad de seguridad, incluso una presentación de Black Hat accidentalmente filtrada, pero después de manejar la respuesta a uno de los fallos de Internet más publicitados en la memoria reciente, Dan Kaminsky dijo Miércoles que lo haría todo de nuevo.

El trabajo de tiempo completo de Kaminsky en los últimos meses ha estado trabajando con proveedores de software y compañías de Internet para corregir un defecto generalizado en el DNS (sistema de nombres de dominio), utilizado por las computadoras para encontrarnos en Internet. Kaminsky primero reveló el problema el 8 de julio, advirtiendo a los usuarios corporativos y proveedores de servicios de Internet que parcheen su software lo más rápido posible.

El miércoles, reveló más detalles del problema durante una sesión multitudinaria en la conferencia Black Hat, describiendo un vertiginosa variedad de ataques que podrían explotar DNS. Kaminsky también habló sobre parte del trabajo que había hecho para arreglar los servicios críticos de Internet que también podrían verse afectados por este ataque.

[Más información: las mejores cajas NAS para transmisión de medios y copia de seguridad]

Explotando una serie de errores en la forma en que funciona el protocolo DNS, Kaminsky había descubierto una manera de llenar rápidamente los servidores DNS con información incorrecta. Los delincuentes podrían usar esta técnica para redirigir a las víctimas a sitios web falsos, pero en la charla de Kaminsky describió muchos tipos más posibles de ataques.

Describió cómo la falla podría utilizarse para comprometer mensajes de correo electrónico, sistemas de actualización de software o incluso contraseñas sistemas de recuperación en sitios web populares.

Y aunque muchos pensaban que las conexiones SSL (Secure Socket Layer) eran impermeables a este ataque, Kaminsky también mostró cómo incluso los certificados SSL utilizados para confirmar la validez de los sitios web podían eludirse con un Ataque DNS El problema, dijo, es que las empresas que emiten certificados SSL usan servicios de Internet como el correo electrónico y la Web para validar sus certificados. "Adivina qué tan seguro es frente a un ataque de DNS", dijo Kaminsky. "No mucho".

"SSL no es la panacea que nos gustaría que fuera", dijo.

Otro problema importante ha sido lo que Kaminsky dice es el ataque "olvidé mi contraseña". Esto afecta a muchas compañías que tienen sistemas de recuperación de contraseñas basados ​​en la Web. Los delincuentes podrían decir que olvidó la contraseña de un usuario en el sitio web y luego usar técnicas de piratería de DNS para engañar al sitio y enviar la contraseña a su propia computadora.

Además de los proveedores de DNS, Kaminsky dijo que había trabajado con compañías como Google, Facebook, Yahoo y eBay para solucionar los diversos problemas relacionados con la falla. "No quiero ver mi factura de teléfono celular este mes", dijo.

Aunque algunos asistentes a la conferencia dijeron el miércoles que la charla de Kaminsky estaba sobrevalorada, el CEO de OpenDNS David Ulevitch dijo que el investigador de IOActive ha realizado un valioso servicio a Internet comunidad. "El alcance total del ataque aún no se ha realizado del todo", dijo. "Esto afecta a cada persona en Internet".

Sin embargo, ha habido algunos contratiempos. Dos semanas después de que Kaminsky discutió por primera vez el problema, la empresa de seguridad Matasano Security accidentalmente filtró los detalles técnicos del error a Internet. Además, algunos servidores DNS de alto tráfico dejaron de funcionar correctamente después de que se aplicara el parche inicial, y varios productos de firewall que realizan la traducción de direcciones de Protocolo de Internet han deshecho involuntariamente algunos de los cambios de DNS realizados para solucionar este problema.

En una entrevista Presentación de Black Hat, Kaminsky dijo que a pesar de todas las molestias, aún haría lo mismo otra vez. "Cientos de millones de personas están más seguras", dijo. "Las cosas no funcionaron a la perfección, pero fue mucho mejor de lo que tenía derecho a esperar".