Hola,<\/p>\n
Al parecer se ha armado un gran revuelo a lo largo de Internet debido a que se ha hecho p\u00fablica la noticia de que m\u00faltiples implementaciones de DNS son vulnerables a ataques conocidos como “Cache poisoning”<\/strong>. El servicio DNS es el responsable de convertir los nombres de dominios utilizados comunmente a direcciones IP, es un servicio b\u00e1sico usado a diario para el cotidiano funcionamiento de Internet (navegaci\u00f3n web, correo, etc).<\/p>\n En el aviso que ha publicado el US CERT<\/a> se listas m\u00e1s de 90 vendedores comprometidos. Aunque se le atribuye el descubrimiento a Dan Kaminsky<\/a>, y no por quitarle m\u00e9rito ya que fue \u00e9l junto con un gran grupo de vendedores los que han estado trabajando desde principios de a\u00f1os para parchear el problema, anteriormente, ya se hab\u00edan dado avisos sobre este problema, por ejemplo D J Bernstein, cuando desaroll\u00f3 djbdns ya se di\u00f3 cuenta del problema<\/a>, del mismo modo Ian Green tamib\u00e9n presento informaci\u00f3n relacionada hace 3 a\u00f1os<\/a>.<\/p>\n Es un fallo de dise\u00f1o en la implementaci\u00f3n del protocolo DNS y se habla de la mayor actualizaci\u00f3n sobre seguridad en la historia de Internet. En los detalles t\u00e9cnicos sale a la luz la raz\u00f3n de todo el problema: la posible predicci\u00f3n de los IDs y puertos usados para las transacciones (ambos de 16 bits), estos datos deber\u00edan ser de mayor tama\u00f1o adem\u00e1s de generarse de manera aleatoria.<\/p>\n Los parches consisten en corregir esta caracter\u00edstica para que estos datos se eligan de manera aleatoria, los sistemas que los usan no son vulnerables.<\/p>\n Y es que DNS no fu\u00e9 un protocolo pensado en la seguridad… una soluci\u00f3n ser\u00eda DNSSEC<\/a>, al igual que el protocolo SMTP se cre\u00f3 del mismo modo y m\u00e1s tarde surgieron las extensiones (ESMTP). Sobre si DNS es seguro, DNSSEC y la viabilidad de implantaci\u00f3n se habl\u00f3 en el blog de administraci\u00f3n de redes<\/a>.<\/p>\n El propio Dan, dar\u00e1 m\u00e1s detalles en el Black Hat<\/a> en agosto, y hasta entonces se espera una r\u00e1pida labor por parte de los administradores para parcherar los sistemas. Por el momento Dan Kaminsky ha publicado una herramienta que permite conocer si nuestros servidores de DNS son vulnerables<\/a><\/strong> (normalmente los de nuestro proveedor, ISP), en “DNS CHECKER” en la parte derecha podemos comprobarlo haciendo click sobre el bot\u00f3n “Check my DNS”, as\u00ed del mismo modo sabremos cuando est\u00e1 parcheado.<\/p>\n Ahora entiendo porque sali\u00f3 publicada hace unos d\u00edas una noticia citando que hab\u00edan conseguido redirigir los DNS de la ICANN, organismo que gestiona las direcciones IP a nivel mundial, y a\u00fan no se sab\u00eda como hab\u00edan conseguido hacerlo, sali\u00f3 en varios medios, entre ellos meneame<\/a> y The Inquirer<\/a><\/p>\n Otros medios lo se\u00f1alan, como elmundo.es<\/a> pero de manera sensacionalista y poco informada.<\/p>\n En hispasec.com tambi\u00e9n se hacen eco, y dan detalles t\u00e9cnicos en castellano<\/a>.<\/p>\n Para una informaci\u00f3n de primera mano recomiendo leer los detalles t\u00e9cnicos publicados por el aviso del US CERT (US Computer Emergency Readiness Team)<\/a> y del SANS Internet Storm Center<\/a><\/strong><\/p>\n Esperamos una pronta soluci\u00f3n coordinada para este problema a nivel global.<\/p>\n","protected":false},"excerpt":{"rendered":" Hola, Al parecer se ha armado un gran revuelo a lo largo de Internet debido a que se ha hecho p\u00fablica la noticia de que m\u00faltiples implementaciones de DNS son vulnerables a ataques conocidos como “Cache poisoning”. El servicio DNS es el responsable de convertir los nombres de dominios utilizados comunmente a direcciones IP, es […]<\/p>\n","protected":false},"author":139,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[488],"tags":[1581,8031],"class_list":["post-122","post","type-post","status-publish","format-standard","hentry","category-seguridad","tag-dns","tag-sysadmin"],"_links":{"self":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/posts\/122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/users\/139"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/comments?post=122"}],"version-history":[{"count":0,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/posts\/122\/revisions"}],"wp:attachment":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/media?parent=122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/categories?post=122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/tags?post=122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nPoco a poco, van lanzando parches para cada sistema concreto, por ejemplo debian<\/a><\/strong>, cisco<\/a><\/strong>, red hat<\/a><\/strong>, etc<\/p>\n