DNS

All posts tagged DNS

ghostdns.png

Brasil es el foco de un nuevo tipo de ataque de enrutador

Desde hace meses, en Brasil se ha generado un nuevo tipo de ataque de enrutador que no se ha visto en ningún otro lugar del mundo. Los ataques son casi invisibles para los usuarios finales y pueden tener consecuencias desastrosas, incluso pueden ocasionarles pérdidas financieras directas.

El caso de Brasil debería ser una señal de advertencia para los usuarios e ISPs de todo el mundo. Lo mejor es tomar precauciones antes de que el ataque que se vive en Brasil se extienda a otros países.

Ataques de enrutador: cambio de DNS

Los ataques contra enrutadores en Brasil fueron observados por primera vez por la empresa de seguridad cibernética Radware y, un mes más tarde, por investigadores de seguridad de Netlab, una unidad de búsqueda de amenazas en la red del gigante chino de seguridad cibernética Qihoo 360. Ambas investigaciones detallaron que un grupo de delincuentes cibernéticos había infectado a más de 100,000 enrutadores domésticos en Brasil y estaban modificando sus configuraciones de DNS.

Las modificaciones realizadas a estos enrutadores redirigieron a los usuarios infectados a sitios web de clones maliciosos cuando intentaban acceder a la banca electrónica de algunos bancos del país.

Luego en abril de 2019, Bad Packets analizó otra ola de ataques, pero esta vez estaba dirigida principalmente contra los enrutadores D-Link, también alojados en los ISP brasileños. Por tanto, no solo secuestraban a los usuarios que visitaban los bancos brasileños, sino que además los redirigían a las páginas de phishing de Netflix, Google y PayPal para recopilar sus credenciales, según investigadores de Ixia.

Avast publicó un informe esta semana señalando que los ataques no se han detenido. La compañía estima que en la primera mitad de 2019, los hackers infectaron y modificaron la configuración de DNS de más de 180,000 enrutadores brasileños. Asimismo, señalaron que la complejidad de los ataques ha aumentado y el número de actores involucrados también.

Cómo se produce el ataque al enrutador

Los investigadores de Avast, David Jursa y Alexej Savčin, señalan que la mayoría de asaltos al enrutador se producen mientras los usuarios en Brasil visitan sitios de transmisión de películas y deportes, o portales para adultos desde su hogar.

En estos sitios, la publicidad maliciosa ejecuta un código especial que detecta la dirección IP de un enrutador doméstico, el modelo del enrutador. Una vez realizada la detección, los anuncios maliciosos utilizan una lista de nombres de usuario y contraseñas predeterminados para iniciar sesión en los dispositivos de los usuarios, sin su conocimiento.

Los ataques, aunque toman tiempo, suceden sin que los usuarios se den cuenta, porque generalmente están ocupados viendo las transmisiones de video en los sitios web a los que acaban de acceder. Si los ataques tienen éxito, el código especial modificará la configuración de DNS predeterminada en los enrutadores de las víctimas, reemplazando las direcciones IP del servidor DNS que reciben los enrutadores de los ISP ascendentes por las direcciones IP de los servidores DNS administrados por los piratas informáticos.

De esa manera, la próxima vez que la computadora o el celular se conecte al enrutador, recibirá las direcciones IP del servidor DNS malicioso y, de esta manera, canalizará todas las solicitudes de DNS a través de los servidores del atacante. Y es así como pueden secuestrar y redirigir el tráfico a clones maliciosos.

leer más
Diarleth G.Brasil es el foco de un nuevo tipo de ataque de enrutador
hombre-en-el-medio.png

Ataque masivo a la infraestructura de la internet, advierte ICANN

ICANN, el organismo encargado de regular la designación de nombres de dominio, advirtió el viernes pasado sobre un ataque masivo a la infraestructura misma del internet, también conocido Sistema de Nombre de Dominio (DNS por sus siglas en inglés).

Logo ICANN

La Corporación de Internet para Nombres y Números Asignados (ICANN, por sus siglas en inglés) ha declarado que las partes clave de su infraestructura están bajo el “riesgo continuo y significativo” de los atacantes, que se cree que están respaldados por los estados.

El grupo advirtió sobre la amenaza después de una reunión de emergencia para discutir los ataques contra la infraestructura clave de Internet. Estos ataques podrían remontarse hasta 2017, según el analista de FireEye, Ben Read, pero han suscitado una creciente preocupación en los últimos meses en medio de crecientes ataques.

De acuerdo con la ICANN, los atacantes apuntan al Sistema de nombres de dominio (DNS), que traduce los nombres de dominio a direcciones IP para que los navegadores web puedan cargar contenido web y enrutar el tráfico a su destino previsto. El DNS a veces se conoce como la “guía telefónica de Internet”.

“Van por la infraestructura de Internet en sí”, dijo el director de tecnología de la ICANN, David Conrad, a la Agence France Press (AFP). “Ha habido ataques dirigidos en el pasado, pero nada como esto”.

¿Qué hacer ante estos ataques?

Estos ataques podrían usarse para interceptar o redirigir el tráfico de Internet, o para permitir que los piratas informáticos “suplanten” sitios web importantes, como sitios web gubernamentales.

En realidad es muy poco lo que el usuario promedio de internet puede hacer. Puesto en contexto, esto es el equivalente de alguien metiéndose a la oficina de correos, revisar u obtener algunas bases de datos, y dejar todo funcionando como de costumbre.

Ataque ICANN

Conrad agregó que no había una sola herramienta que pudiera usarse para abordar el problema. En cambio, la ICANN advierte que es necesario un endurecimiento general de las defensas web. Específicamente, solicitó una implementación más generalizada de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que protege el tráfico provisto por el DNS al agregar ‘firmas digitales’ criptográficas para la autenticación, lo que facilita la identificación de los datos que han sido manipulados. La DNSSEC también ayuda a los usuarios de Internet a prevenir ataques “hombre-en-el-medio” (man-in-the-middle), en los que los usuarios, sin saberlo, son redirigidos a sitios potencialmente maliciosos, dijo la ICANN.

“Los informes públicos indican que hay un patrón de ataques multifacéticos que utilizan diferentes metodologías”, dijo una declaración de la ICANN . “Algunos de los ataques apuntan al DNS, en el que se realizan cambios no autorizados a la estructura de delegación de nombres de dominio, reemplazando las direcciones de los servidores previstos por direcciones de máquinas controladas por los atacantes”.

“Este tipo particular de ataque, que se dirige al DNS, solo funciona cuando DNSSEC no está en uso”.

La adopción de DNSSEC se encuentra actualmente en aproximadamente el 20 por ciento.

En enero, las autoridades del gobierno de EEUU emitieron una advertencia sobre los ataques contra el DNS que se cree están orquestados por hackers respaldados por algún estado, también conocidos como APT’s. Se cree que las agencias del gobierno de los Estados Unidos están entre los objetivos de estos ataques.

”[Este tipo de ataque] es equivalente a que alguien mienta a la oficina de correos sobre su dirección, revise su correo y luego se lo entregue personalmente a su buzón”, dijo el Departamento de Seguridad Nacional. “Se podrían hacer muchas cosas perjudiciales para usted (o los remitentes)”.

Según FireEye, los atacantes “DNSpionage” han estado buscando nombres de correo electrónico y contraseñas para robar las credenciales de las cuentas en una escala masiva, en particular las de los registradores de sitios web y los proveedores de servicios de Internet en el Medio Oriente y algunas partes de Europa: “Hay evidencia de que está saliendo de Irán y se están haciendo en apoyo de Irán ”, dijo. Los objetivos incluyen gobiernos, servicios de inteligencia, aplicación de la ley, especialistas en seguridad cibernética, la industria petrolera y las aerolíneas.

Opinión: ¿La intención de estos ataques?

Lo que no está claro es los fines del porqué alguien decidiría atacar a la estructura misma de la web. Si me preguntas a mi, podemos suponer que son hackers de medio tiempo tratando de ganar el próximo premio al hackeo más grande.

Aunque por otro lado, también puede ser que sea parte de un movimiento underground para mover los cimientos mismo de la web, para generar conciencia al respecto, y quizá lograr salir del «monopolio» de ICANN.

La alternativa más aterradora y quizá también la más probable dado el calibre del ataque, es que sean hackers de Irán con fines geopolíticos en pos de una guerra cibernética.

En estos tiempos, todo es posible.

leer más
Isaul CarballarAtaque masivo a la infraestructura de la internet, advierte ICANN
operadoras-telefonicas-1.jpg

¿Qué es el DNS?

¿Qué es el sistema de nombres de dominio (DNS)?

El sistema de nombres de dominio (DNS por sus siglas en inglés) no es sino una serie de computadoras interconectadas, con una especie de instrucciones que les dicen cómo responder ante ciertas preguntas (queries).

El DNS se encarga de traducir ese número que se conoce como IP en un nombre de dominio fácilmente reconocible por los humanos. Algo así como una sección amarilla que contiene todos los números de teléfono, junto con el nombre y dirección asociado.

La pregunta más básica que el DNS responde es, cómo llevarte del punto A al punto B en la forma más óptima posible. Es decir, la función del DNS es hacer de la web un sistema más eficiente.

¿Qué es DNSSEC?

El DNSSEC es una forma de firmar digitalmente (sin encriptar) las comunicaciones de extremo a extremo, garantizando que cada parte sea quien dice ser.

Dicho de otra forma, el DNSSEC es un protocolo que se le agrega a la comunicación entre nodos y que se verifica desde la raíz.

¿Porqué existe el DNS?

El DNS existe para facilitar que llegues a tu destino, sin que necesariamente el punto de partida o primer nodo tenga que tener toda la información completa de la red.

La estructura de la web está construida a través de una serie de nodos, conectados los unos con otros, pero no necesariamente conectados todos al mismo tiempo. Lo anterior significa que para llegar del punto A al punto F tienes que pasar por una serie de pasos que no son necesariamente lineales o directos. Mira la representación gráfica de abajo para comprenderlo mejor.

Mientras que para ir del punto A al punto B sólo tienes q recorrer un tramo o camino, para ir del punto A al punto F tienes que pasar por cuatro tramos (A-B, B-C, C-E, E-F) y por tres nodos (B, C, y E) antes de llegar a tu destino.

Aunque la gráfica anterior sirve para ejemplificar el funcionamiento de una red y los diversos pasos de las comunicaciones. Una visualización real tiene mucho más nodos y conexiones, de forma que se vería así.

Una representación gráfica del sistema de interconexiones de PayPal.
Una visualización del sistema de interconexiones de PayPal.

Dado que las redes son considerados entes orgánicos, nadie la controla ni nadie puede saber todo lo que pasa en cada momento (ni siquiera Google). Entonces el DNS es como un bibliotecario o un sistema de reglas que más o menos dice algo así. Todos los requests del tipo .pe. deberán dirigirse al pasillo 23. Ahí, nos dice, todos los requests del tipo .com. deberán irse al anaquel 14. Finalmente, nos vuelve a preguntar a donde queremos ir, y cuando decimos .google. entonces el sistema para ese punto ya sabe que queremos ir a www.google.com.pe.

Por cierto, la duración de una consulta DNS es de fracciones de segundo. Para ponerlo en perspectiva, mientras que un parpadeo puede durar unos 50 milisegundos. La mayoría de las consultas de DNS se resuelven en menos de 30 milisegundos.

Lo anterior es sólo una forma de administrar la red, sin tener que sobrecargar ningún nodo con toda la información de la red. Por supuesto que hay nodos diseñados para soportar cantidades brutales de datos, pero ese es otro tema el cual veremos en otra ocasión.

¿Quién controla el DNS?

Aunque el DNS no está centralmente regulado por cada dominio, existen reguladores en cada nivel de una dirección web. El regulador principal, también llamado zona raíz, es la ICANN quien administra entre las que se incluyen las extensiones principales (genéricas gTLD) como .com, .org, .gov., y las de nivel país (ccTLD), .pe, .mx, .cl, .ie, etc.

La ICANN es una organización sin fines de lucro (controlada por unas cuantas personas que mantienen el destino de Internet en sus manos) y que ha estado monitoreando y protegiendo Internet desde 1998 y es responsable de administrar el Sistema de Nombres de Dominio (DNS por sus siglas en inglés).

¿Cómo se regula el ICANN?

El ICANN es una especie de órgano regulador que dicta las reglas para el uso y expansión del DNS. Dado que la idea es que éste órgano sea como el internet, abierto y colaborativa, el mismo funciona de una forma similar.

Otorga poderes extraordinarios a pocos individuos, mediante un sistema seguro que garantiza backups de backups, así como puertas seguras sobre puertas seguras.

leer más
Isaul Carballar¿Qué es el DNS?