Con DNS Flaw ahora público, código de ataque inminente

Un día después de que una compañía de seguridad accidentalmente publicara detalles de una falla grave en el Sistema de Nombres de Dominio (DNS) de Internet, los piratas informáticos dicen que el software que explota esta falla seguramente aparecerá pronto.

Varios hackers son casi seguros Ya está desarrollando código de ataque para el error, y lo más probable es que aparezca en los próximos días, dijo Dave Aitel, director de tecnología del proveedor de seguridad Immunity. Su compañía finalmente desarrollará un código de muestra para su software de pruebas de seguridad Canvas, una tarea que espera tomar alrededor de un día, dada la simplicidad del ataque. "No es tan difícil", dijo. "No estás viendo un esfuerzo de craqueo de ADN".

El autor de una herramienta de piratería ampliamente utilizada dijo que esperaba tener un exploit para el final del día martes. En una entrevista telefónica, HD Moore, autor del software de pruebas de penetración Metasploit, estuvo de acuerdo con Aitel en que el código de ataque no iba a ser difícil de escribir.

[Más información: Los mejores NAS para transmisión y copia de seguridad de medios]

El investigador de IOActive, Dan Kaminsky, anunció la falla, una variación de lo que se conoce como ataque de envenenamiento de la memoria caché, el 8 de julio, quien planeaba revelar todos los detalles del error durante una presentación del 6 de agosto en la conferencia Black Hat. Ese plan se frustró el lunes, cuando alguien en Matasano accidentalmente publicó detalles de la falla antes de lo previsto. Matasano retiró rápidamente la publicación y se disculpó por su error, pero ya era demasiado tarde. Los detalles de la falla pronto se extendieron por Internet.

Y eso es una mala noticia, según Paul Vixie, presidente de la compañía que es el fabricante dominante de software DNS, el Consorcio de Sistemas de Internet. Vixie, como otros que fueron informados sobre el error de Kaminsky, no confirmó que había sido revelado por Matasano. Pero si lo hubiera hecho, "es un gran problema", dijo en un mensaje de correo electrónico.

El ataque puede usarse para redirigir a las víctimas a servidores maliciosos en Internet al apuntar a los servidores DNS que sirven como indicadores para todos el tráfico de Internet. Al engañar a los servidores de un proveedor de servicios de Internet para que acepten información incorrecta, los atacantes podrían redireccionar a los clientes de esa compañía a sitios web maliciosos sin su conocimiento.

Aunque la mayoría de los usuarios del software DNS ya tienen disponible un arreglo de software, puede tomar tiempo para que estas actualizaciones funcionen durante el proceso de prueba y realmente se instalen en la red.

"La mayoría de la gente no ha parcheado aún", dijo Vixie. "Ese es un problema gigantesco para el mundo".

El problema es un tema de debate.

Neal Krawetz, propietario de la consultora de seguridad informática Hacker Factor Solutions, echó un vistazo a los servidores DNS administrados por importantes ISPs a principios de esta semana y encontraron que más de la mitad de ellos todavía eran vulnerables al ataque.

"Me parece desconcertante que los ISP más grandes … sigan siendo identificados como vulnerables", escribió en un blog publicado. "Cuando los [hackers] se enteren del exploit, irán a jugar. Seguramente comenzarán con la fruta más barata: grandes empresas que son vulnerables y admiten una gran cantidad de usuarios".

Espera que los usuarios lo hagan ver los ataques en cuestión de semanas, comenzando primero con los ataques de prueba, y posiblemente incluso con un secuestro de dominio generalizado. "Finalmente serán los phishers, los escritores de malware y los atacantes organizados", escribió en una entrevista por correo electrónico el martes. "Realmente espero que estos sean ataques muy concentrados".

La mayoría de los ISP probablemente aplicarán el parche para cuando comiencen a aparecer los ataques, y eso protegerá a la gran mayoría de los usuarios domésticos, dijo Russ Cooper, una fuente de información sénior. analista de seguridad con Verizon Business. Y los usuarios comerciales que usan software seguro de proxy DNS también estarán "más o menos protegidos" del ataque en su firewall, dijo Cooper.

"Si alguien realmente intenta explotar esto, el número real de víctimas terminará siendo extremadamente pequeño ", predijo.

HD Moore dijo que no veía exactamente las cosas de esa manera. Debido a que la falla afecta a casi todo el software DNS que se usa en Internet, dijo que podría haber muchos problemas por delante.

"Este es un error del que nos vamos a preocupar dentro de un año", dijo.