Llegamos a ustedes gracias a:



Reportajes y análisis

Tres tipos de ataques DNS y cómo tratar con ellos

[23/10/2013] El trabajo de los servidores DNS consiste en traducir las direcciones IP en nombres de dominio. Es por eso que puede introducir CIO.com en el navegador para visitar nuestro sitio hermano, en lugar de tratar de recordar 65.221.110.97.
Cuando el DNS se ve comprometido, pueden suceder varias cosas. Sin embargo, los servidores DNS comprometidos son a menudo utilizados por los atacantes de una de dos maneras. Lo primero que un atacante puede hacer es redirigir todo el tráfico entrante a un servidor de su elección. Esto les permite lanzar ataques adicionales, o recoger los registros de tráfico que contienen información sensible.
La segunda cosa que puede hacer un atacante es capturar todo el correo electrónico. Más importante aún, esta segunda opción también permite al atacante enviar correo en su nombre, con el dominio de la organización víctima y persiguiendo su propia reputación. Para empeorar las cosas, los atacantes también podrían optar por una tercera opción, que es hacer ambas cosas.
"En el primer caso esto puede ser utilizado para atacar a los visitantes y capturar las credenciales de acceso e información de cuenta. La solución común de mandato SSL funciona hasta que el atacante se aprovecha de la segunda opción para registrar un nuevo certificado a su nombre. Una vez que tengan un certificado SSL válido y el control de su DNS (uno y el mismo, en el fondo), se han convertido eficazmente en usted sin necesidad de acceder a cualquiera de los servidores", según mencionó el director de investigación de Rapid7, HD Moore, a CSO en un correo electrónico.
En una entrada de blog, Cory von Wallenstein, CTO de Dyn Inc., una firma que se especializa en la gestión del tráfico y DNS, explicó los tres tipos comunes de ataques de DNS y cómo abordarlos.
El primer tipo de ataque DNS se llama un ataque de envenenamiento de caché. Esto puede suceder después de que un atacante tiene éxito en la inyección de datos DNS maliciosos en los servidores DNS recursivos que son operados por los ISP. Estos tipos de servidores DNS son los más cercanos a los usuarios desde una perspectiva de topología de la red, escribió von Wallenstein, por lo que el daño se localiza en usuarios específicos que se conectan a esos servidores.
"Existen soluciones eficaces para hacer que esto sea impracticable, y buenos estándares como DNSSEC que proporcionan protección adicional contra este tipo de ataques", agregó.
Si DNSSEC es impracticable o imposible, otra solución consiste en restringir la recursividad en los servidores que deben ser protegidos. La recursividad identifica si un servidor solo entregará la información que ha almacenado en caché, o si está dispuesto a ir a través de Internet y hablar con otros servidores para encontrar la mejor respuesta.
"Muchos de los ataques de envenenamiento de caché aprovechan la función recursiva para envenenar el sistema. Así que al limitar la recursividad solo a aquellos de los sistemas internos, se limita la exposición. Aunque este ajuste no resolverá todos los posibles vectores de ataque de envenenamiento de caché, le ayudará a mitigar la buena parte de ellos", señaló Chris Brenton, director de seguridad de Dyn, en un correo electrónico dirigido a CSO.
El segundo tipo de ataque DNS ocurre cuando los atacantes tienen más de uno o más servidores DNS autoritarios para un dominio. En su post, von Wallenstein señaló que el hosting de DNS autoritario es del tipo de servicio que su empresa le proporciona a Twitter. Sin embargo, Dyn Inc. no fue atacada por la SEA, por lo que sus servicios a Twitter no se vieron afectados por el incidente pasado.
Si un atacante comprometiera un DNS autoritario, explica von Wallenstein, el efecto sería global. Aunque eso no fue lo que hizo SEA durante su ataque más reciente, se ha hecho antes.
En el 2009, Twitter sufrió otro ataque por parte del Ejército Cibernético Iraní. El grupo alteró los registros DNS y redirigió el tráfico a la propaganda alojada en los servidores que controlaban. La capacidad de alterar la configuración de DNS se produjo después de que el Ejército Cibernético Iraní comprometiera la cuenta de correo electrónico de un empleado de Twitter, y luego utilizó esa cuenta para autorizar los cambios de DNS. Durante ese incidente Dyn Inc. fue el registrador en contacto con el fin de procesar la solicitud de cambio.
La defensa contra este tipo de ataques a menudo incluye contraseñas seguras y ACL (listas de clientes aceptables, por sus siglas en inglés) basadas en IP. Además, un programa de formación sólida que se ocupe de la ingeniería social también será eficaz.
"Creo que el primer paso es reconocer la importancia de los DNS autoritarios dentro de nuestro modelo de confianza de conectividad a Internet", señaló Brenton.
Se puede colocar todo el tiempo y los recursos del mundo para asegurar un servidor Web, pero si un atacante puede atacar el servidor autorizado y llevar los registros DNS a una dirección IP diferente "al resto del mundo todavía le va aparecer que usted ha sido comprometido", agregó Brenton.
"De hecho es peor, porque ese ataque también les permitirá redirigir su correo electrónico o cualquier otro servicio que esté ofreciendo. Así que alojar su servidor autoritario con una autoridad de confianza es la forma más sencilla de resolver este problema".
El tercer tipo de ataque DNS también es el más problemático de deshacer. Esto ocurre cuando un atacante compromete el registro del dominio, y luego utiliza ese acceso para modificar los servidores DNS asignados al mismo.
Esto es también lo que el SEA hizo cuando fueron tras Twitter y el New York Times. Ellos accedieron a MelbourneIT, el registrador responsable de los dominios afectados, y cambiaron los DNS autoritarios por su cuenta.
"En este momento, los servidores de nombres autoritarios respondieron a todas las consultas de los dominios afectados. Lo que hace que este ataque sea tan peligroso es lo que se llama el TTL (tiempo de vida). Los cambios de esta naturaleza se almacenan en la caché de servidores DNS recursivos a nivel mundial por 86.400 segundos, o un día completo. A menos que los operadores sean capaces de purgar caché, puede llevar un día entero (a veces más) para que se reviertan los efectos", escribió von Wallenstein.
Una vez más, el consejo de Brenton para DNS autoritarios se aplica aquí también. También es posible alojar servidores autorizados dentro de la organización, lo que permite un control total.
"Si va a ejecutar sus propios servidores con autoridad, asegúrese de seguir las mejores prácticas de seguridad que han sido identificados por SANS y el Centro para la Seguridad en Internet", aconsejó Brenton.
Steve Ragan, CSO (EE.UU.)