Habitualmente somos un poco reacios a escribir sobre temas de seguridad, ya que típicamente suelen requerir mucho tecnicismo y nuestra Web tampoco es un foro especializado en el tema. Sin embargo, en esta ocasión se nos antoja que la vulnerabilidad en el sistema DNS descubierta en julio merece un comentario.
Como sabemos, el DNS (Domain Name System) es el sistema que traduce direcciones que podemos recordar (e.g. www.google.com), en las direcciones IP (e.g. 208.69.34.230) que se usan en Internet. Se trata de un sistema esencial para el buen funcionamiento de la Red. Pues bien, la vulnerabilidad de la que nos hacemos eco podría utilizarse para realizar ataques de lo que se conoce como cache poisoning (DNS spoofing). Básicamente consiste en forzar las respuestas de un servidor o resolvedor DNS para que devuelva la dirección IP que se quiera en lugar de la dirección IP real. Este tipo de ataques se descubrió en 1993 y desde entonces han aparecido varias vulnerabilidades parecidas que se han ido paliando con actualizaciones y parches.
Esta vulnerabilidad, relativamente fácil de explotar, ofrece muchas posibilidades para cometer actos malintencionados en Internet como phishing, infecciones, robos de credenciales, defacements, etc. Por ello los administradores de servicios de DNS, lo que incluye a usuarios domésticos y de empresas que no disponen de personal especializado, deberían dedicar algo de tiempo a comprobar si últimamente están sufriendo extraños problemas de navegación, aparentes cortes de conexión, etc. por no hablar de si han sufrido algún problema de los mencionados. Es importante recalcar que la vulnerabilidad no sólo afecta a los servidores DNS, sino a cualquier otro elemento que reenvíe, cachee o resuelva peticiones DNS.
Afortunadamente, en la página del US-CERT ya han recopilado una lista de los fabricantes afectados así como algunas recomendaciones. Entre ellas la de usar DNSSEC, una extensión al protocolo DNS que lleva muchos años disponible pero sin mucho éxito de acogida.
Desde aquí recomendamos visitar la página del descubridor de la vulnerabilidad, Dan Kaminsky, donde podemos encontrar una sencilla herramienta (basta pulsar el botón “Check My DNS”) para verificar si el servidor DNS que estemos usando es vulnerable o no. Adicionalmente, también es recomendable la visita a la página de OpenDNS, donde pueden obtenerse instrucciones sobre cómo configurar un ordenador personal, un router o un servidor de DNS para usar estos servidores gratuitos y “seguros”.
