19:20 20/02/02
ICANN ACOMETE LA MISIÓN IMPOSIBLE DE ASEGURAR EL SISTEMA DE DOMINIOS
Mercè Molist
La Internet Corporation for Assigned Names and Numbers (ICANN) presentaba la semana pasada a un pionero de la red, Stephen Crocker, como su nuevo jefe de seguridad. El cargo, que hasta ahora no existía en la organización, es la primera consecuencia práctica del interés que la fiabilidad del Sistema de Nombres de Dominio (DNS) ha despertado en empresas y gobiernos, desde el 11-S.Crocker dirigirá el Comité de Seguridad y Estabilidad, cuya creación se acordó en el último encuentro de ICANN, el pasado noviembre. Diversos expertos avisaron allí de la posibilidad de un ataque diseñado para bombardear los 13 servidores principales de nombres de dominio, que podría echar abajo toda Internet. La empresa responsable de estas máquinas, Verisign, desmintió que fuesen inseguras. Pero el debate sobre la fragilidad del sistema, conocida hasta entonces sólo por los técnicos, ya estaba abierto.
En diciembre, una publicación del National Infrastructure Protection Center avisaba: "Compañías y proveedores necesitan examinar su arquitectura de DNS". Meses antes, una mala configuración de Microsoft la había aíslado 24 horas de Internet. En enero, BBC News informaba del malestar en empresas y gobiernos europeos: "Las organizaciones que llevan dominios de primer nivel, como .uk o .de, están pidiendo a ICANN garantías escritas sobre la estabilidad de los servidores raíz. A lo que ésta se ha negado".
Pero, según los expertos, el problema no son los servidores raíz sinó la misma base del sistema, el protocolo DNS, obsoleto y plagado de fallos, que conecta a millones de servidores de nombres de todo el mundo. El sistema DNS es una gran base de datos distribuida y jerárquica, que convierte las direcciones como www.midominio.com en direcciones numéricas, comprensibles para las máquinas. Todos los dominios están conectados a dos o más servidores de nombres, que les permiten ser localizados, para servicios web, correo, etc.
Los fallos del protocolo DNS y sus programas asociados, como BIND (Berkeley Internet Name Domain), lo mantienen imbatible en los primeros puestos de "Las 20 vulnerabilidades más críticas" del SANS Institute: "Más del 50% de los servidores DNS tienen fallos. En minutos, se podrían borrar datos de un sistema, tener acceso privilegiado o atacar desde allí a otros". Lo confirma Pablo Carretero, consultor de seguridad de S21sec: "En las auditorías, siempre encontramos alguna vulnerabilidad en el servidor DNS, por mala configuración o por no tener los últimos parches, lo que puede desembocar en una intrusión. Y cualquiera tiene en Internet los programas para hacerlo".
Jesús Cea, de Hispasec, destaca el ataque llamado "DNS Spoofing", que provoca que "cuando intentas conectarte a un sitio, vas a otro. Y cuando un servidor intenta verificar tu identidad, ve la de otro". Ésta es la principal debilidad del sistema, según el experto en seguridad "Tahum": "El protocolo DNS no posee métodos de autenticación, lo que permite engañar a la máquina que solicita una resolución de nombres. Así, se podría modificar la IP asociada al dominio de un banco y enviar a los usuarios a la competencia".
El nuevo protocolo DNSSEC, que utiliza criptografía y firmas digitales para la identificación, acabaría con estos problemas. Pero, reconoce Cea, "DNSSEC no consigue despegar, igual que IPv6 y otros protocolos modernos, porque suelen ser más costosos en términos de recursos. Además, los viejos no funcionan tan mal y hay tantos millones de máquinas que el coste de la migración sería brutal".
ICANN
http://www.icann.org
BIND
http://www.isc.org/products/BIND
DNSSEC
http://www.ietf.org/ids.by.wg/dnssec.html
http://www.pgp.com/research/nailabs/network-security/an-introduction.asp
Djbdns
http://cr.yp.to/djbdns.html
MaraDNS
http://sourceforge.net/projects/maradns
SECUESTROS DE DOMINIOS
Los expertos de ICANN avisaron también, en su reunión de noviembre, sobre el secuestro de dominios. Este ataque no se aprovecha de fallos técnicos sinó de los métodos defectuosos de autenticación en la comunicación entre el propietario del dominio y la empresa registradora. Consiste en enviar una carta al registrador, haciéndose pasar por la víctima, pidiendo un cambio en la propiedad de su dominio. Se calcula el tiempo que tardará la empresa en responder a la víctima y se envía una respuesta falsa, confirmando el cambio.
Recuperar un dominio puede costar meses y litigios, como le sucedió a sex.com. Según el abogado Javier Maestre, "en la gestión de nombres de dominio últimamente se están observando bastantes irregularidades, que pueden denunciarse perfectamente. Si alguien se hace pasar por otro, está suplantando identidad, y si no se ha actualizado el tema de los contactos técnicos y administrativos en la base de datos del registrador, es un error en la gestión".