Seguramente la forma más sencilla de provocar un caos en Internet es atacar el servicio de resolución de nombres DNS (Domain Name System), y algo de eso hay.
Parece ser que hace unos meses se encontró una vulnerabilidad en el sistema, de forma que sería posible redireccionar cualquier dirección a otra deseada. El grupo que se ha encargado del tema prefirió silenciar el agujero hasta tener la solución y ahora nos enteramos.
En cualquier caso no es una sorpresa. Internet es una red diseñada con objetivos de simplicidad y la eficiencia, no de seguridad, de modo que servicios como el DNS están dando servicio a una comunidad y un tráfico mucho mayor del pensado inicialmente, sobre todo a un tipo de tráfico que no se pensó en sus orígenes.
Cuando D.J.Bernstein desarrolló su djbdns ya observó el problema:
Un cliente DNS aceptará cualquier respuesta dentro del tiempo adecuado, si está direccionado desde la dirección IP del servidor legítimo, será direccionado al puerto UDP utilizado en la petición DNS. Un ataque activo de escucha puede fácilmente suplantar respuestas copiando la información de las consultas. Se necesita averiguar el tiempo, el puerto UDP y la ID de la consulta.
Existen soluciones y protocolos diseñados posteriormente que solucionan los temas de seguridad, pero su implantación es todavía baja.
Entradas
No hay comentarios:
Publicar un comentario