El proyecto de código abierto tiene como objetivo simplificar el DNS seguro

Un grupo de desarrolladores lanzó un software de código abierto que ayuda a los administradores a hacer que el sistema de direcciones de Internet sea menos vulnerable a los hackers.

El software, llamado OpenDNSSEC, automatiza muchas tareas asociado con la implementación de DNSSEC (Extensiones de seguridad del sistema de nombres de dominio), que es un conjunto de protocolos que permite que los registros DNS (Sistema de nombres de dominio) lleven una firma digital, dijo John A. Dickinson, un consultor DNS que trabaja en el proyecto.

Los registros DNS permiten que los sitios web se traduzcan de un nombre a una dirección IP (Protocolo de Internet), que puede ser consultada por una computadora. Pero el sistema DNS tiene varios defectos que datan de su diseño original y están siendo cada vez más atacados por hackers.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Al manipular un servidor DNS, es posible que el usuario debe escribir el nombre correcto del sitio web, pero debe dirigirse a un sitio fraudulento, un tipo de ataque llamado envenenamiento de caché. Esa es una de las muchas preocupaciones que está impulsando un movimiento para los ISP y otras entidades que ejecutan servidores DNS para usar DNSSEC.

Con DNSSEC, los registros DNS se firman criptográficamente y esas firmas se verifican para garantizar que la información sea precisa. La adopción de DNSSEC, sin embargo, se ha retrasado tanto por la complejidad de la implementación como por la falta de herramientas más simples, dijo Dickinson.

Para firmar registros DNS, DNSSEC usa criptografía de clave pública, donde las firmas se crean usando una clave pública y privada e implementado en un nivel de zona. Parte del problema es la administración de esas llaves, ya que deben actualizarse periódicamente para mantener un alto nivel de seguridad, dijo Dickinson. Un error en la administración de esas claves podría causar problemas importantes, que es uno de los desafíos para los administradores.

OpenDNSSEC permite a los administradores crear políticas y luego automatizar la administración de las claves y la firma de los registros, dijo Dickinson. El proceso ahora implica más intervención manual, lo que aumenta las posibilidades de errores.

OpenDNSSEC "se ocupa de asegurarse de que la zona permanezca firmada correctamente y de acuerdo con la política de manera permanente", dijo Dickinson. "Todo eso está completamente automatizado para que el administrador pueda concentrarse en hacer DNS y dejar que la seguridad funcione en segundo plano."

El software también tiene una función de almacenamiento de claves que permite a los administradores mantener claves en un hardware o módulo de software de seguridad, una capa adicional de protección que asegura que las llaves no terminen en las manos equivocadas, dijo Dickinson.

El software OpenDNSSEC está disponible para su descarga, aunque se ofrece como una vista previa de tecnología y no debe usarse todavía en producción, dijo Dickinson. Los desarrolladores recopilarán comentarios sobre la herramienta y lanzarán versiones mejoradas en el futuro cercano.

A principios de este año, la mayoría de los dominios de nivel superior, como los que terminan en ".com", no fueron firmados criptográficamente, y tampoco fueron en la zona raíz del DNS, la lista maestra de dónde pueden ir las computadoras para buscar una dirección en un dominio en particular. VeriSign, que es el registro de ".com", dijo en febrero que implementará DNSSEC en todos los dominios de alto nivel, incluido.com para 2011.

Otras organizaciones también están avanzando hacia el uso de DNSSEC. El gobierno de EE. UU. Se ha comprometido a usar DNSSEC para su dominio ".gov". Otros operadores de ccTLD (Dominios de primer nivel con código de país) en Suecia (.se), Brasil (.br), Puerto Rico (.pr) y Bulgaria (.bg) también utilizan DNSSEC.

Los expertos en seguridad argumentan que DNSSEC debe usarse más temprano que tarde debido a las vulnerabilidades existentes en DNS. Uno de los más serios fue revelado por el investigador de seguridad Dan Kaminsky en julio de 2008. Mostró que los servidores DNS podrían llenarse rápidamente con información inexacta, que podría usarse para una variedad de ataques a sistemas de correo electrónico, sistemas de actualización de software y contraseñas sistemas de recuperación en sitios web.

Si bien los parches temporales se han implementado, no es una solución a largo plazo, ya que simplemente lleva más tiempo realizar un ataque, según un informe técnico publicado a principios de este año por SurfNet, una organización holandesa de investigación y educación. SurfNet es uno de los patrocinadores de OpenDNSSEC, que también incluye el registro ".uk" Nominet, NLnet Labs y SIDN, el registro ".nl".

A menos que se utilice DNSSEC, "la falla básica en el sistema de nombres de dominio". no es forma de asegurar que las respuestas a las consultas sean genuinas, permanece ", dijo el periódico.