Fallo DNS: Todo sigue igual

Enviado por Fernando Acero el 20. Julio 2008 - 17:25.

Por Fernando Acero

El Parlamento Europeo quiere hacer recaer la seguridad y la comodidad de los ciudadanos, eliminando el molesto "spam" en las operadoras, pero parece que hay algo que falla en todo este planteamiento.

Y es que pesar de lo que se les viene encima a las operadoras de comunicaciones desde Europa, con enmiendas como éstas (ver también nota final en este mismo artículo), que se envían desde la Comisión de Asuntos Jurídicos a la Comisión de Mercado Interior y Protección del Consumidor, con ocasión de la modificación de la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, esta mañana he puesto las siguientes DNS de Telefónica / Terra en mi configuración y obtengo lo siguiente, tras comprobar las DNS con el botón "Check My DNS" de la página del amigo Kaminsky...

 

80.58.61.250 / 80.58.61.254

Your name server, at 80.58.34.37, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 32772

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for a651af1b62d2.toorrr.com:

80.58.34.37:32772 TXID=12784
80.58.34.37:32772 TXID=54587
80.58.34.37:32772 TXID=27197
80.58.34.37:32772 TXID=1437
80.58.34.37:32772 TXID=12557

 

80.58.0.33 / 80.58.32.97

Your name server, at 80.58.0.102, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 55559

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 9b234ece1fed.toorrr.com:
80.58.0.102:55559 TXID=54403
80.58.0.102:55559 TXID=23150
80.58.0.102:55559 TXID=14054
80.58.0.102:55559 TXID=53071
80.58.0.102:55559 TXID=47313

 

194.224.52.36 / 194.224.52.37

Your name server, at 195.53.204.139, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 53661

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for e6be532075e5.toorrr.com:
195.53.204.139:53661 TXID=59935
195.53.204.139:53661 TXID=56220
195.53.204.139:53661 TXID=50579
195.53.204.139:53661 TXID=23931
195.53.204.139:53661 TXID=34235

De nuevo, si uso OpenDNS:

 

208.67.222.222 / 208.67.220.220

Your name server, at 208.69.34.4, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for b4dd63e21c4d.toorrr.com:

208.69.34.4:33739 TXID=5311
208.69.34.4:62424 TXID=53127
208.69.34.4:28896 TXID=42887
208.69.34.4:24746 TXID=57425
208.69.34.4:5496 TXID=19268

Pero parece que este operador no es el único; si usamos las DNS de Ya.com, por ejemplo:

 

62.151.20.7 / 62.151.2.8

Your name server, at 195.53.204.138, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 33092

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for aca3e546402c.toorrr.com:
195.53.204.138:33092 TXID=26294
195.53.204.138:33092 TXID=52698
195.53.204.138:33092 TXID=54822
195.53.204.138:33092 TXID=11712
195.53.204.138:33092 TXID=39624

 

Como se puede ver, Telefónica no es la única que tiene el problema, por lo que sería bueno que comprobásemos todas nuestras DNS y publicáramos aquí si son, o no son vulnerables, indicando fecha y hora de la comprobación, para hacernos una idea de la situación de las operadoras nacionales.

Es curioso es que esto siga ocurriendo el 20 de julio de 2008 a las 12:36, cuando las alertas saltaron allá por el día 9 de julio de 2008 y más, cuando este fallo facilita el engaño mediante phishing, o incluso, la instalación de troyanos, o de cualquier otro tipo de malware, a través de páginas maliciosas a las que nos pueden hacer llegar de forma fraudulenta. Una vez troyanizado nuestro sistema, lo único que podemos esperar son problemas.

Hay que señalar, que en esta situación, la existencia de sistemas de firma electrónica, como el e-dni, puede representar un problema añadido, puesto que nos pueden hacer firmar cosas que no queremos y con ello, provocarnos serios problemas legales y/o económicos. Los escasos conocimientos de muchos usuarios, la política de "la informática es para todos" de algunas empresas, no ayudan a solventar el problema, pero si encima las operadoras se lo ponen fácil a los "malos", más problemas tendremos.

 

"Enmienda:

(a bis) Se añade el apartado siguiente:

«1 bis. Sin perjuicio de las disposiciones de las Directivas 95/46/CE y 2006/24/CE, esas medidas comprenderán:

– medidas técnicas y organizativas adecuadas para velar por que sólo el personal autorizado tenga acceso a los datos personales y para proteger los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o difusión no autorizados o ilícitos;

– medidas técnicas y organizativas adecuadas para proteger la red y los servicios de su utilización accidental, ilícita o no autorizada, la interferencia u obstaculización de su funcionamiento o disponibilidad, incluida también la distribución de mensajes de comunicación electrónica no solicitados o fraudulentos;

– una política de seguridad con respecto al tratamiento de datos personales;

– un procedimiento de identificación y evaluación de las vulnerabilidades razonablemente previsibles en los sistemas a cargo del proveedor del servicio de comunicaciones electrónicas que comprenda el control regular de las violaciones de la seguridad;

– un procedimiento para la adopción de medidas preventivas, correctoras y paliativas contra toda vulnerabilidad del sistema detectada en el marco del procedimiento descrito en el cuarto guión, así como un procedimiento para la adopción de medidas preventivas, correctoras y paliativas contra los incidentes de seguridad que pudieran desembocar en una violación de la seguridad."

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Test DNS para todos

Enviado por admin el 20. Julio 2008 - 18:08.

No es necesario el test de Kaminsky. Puede hacer las pruebas uno mismo sobre cualquier DNS utilizando la herramienta dig, que viene en el paquete bind-utils o similar de cualquier distro Linux, y que también está disponible para Windows, por ejemplo desde http://members.shaw.ca/nicholas.fong/dig

Tras instalar dig, podemos obtener el listado de DNS de los ISPs:

http://bandaancha.eu/analizador-dns

Ahora, para comprobar el DNS de Ya.com (por ejemplo) podemos hacer:

dig +short @62.151.2.65 porttest.dns-oarc.net txt

Y el resultado es:

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"62.151.2.8 is POOR: 26 queries in 4.4 seconds from 1 ports with std dev 0.00"

En cambio, para comprobar OpenDNS hacemos:

dig +short @208.67.220.220 porttest.dns-oarc.net txt

Y obtenemos:

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.10 is GOOD: 26 queries in 4.1 seconds from 26 ports with std dev 18417.55"

Como podéis ver, este sistema no está limitado a que cada cual compruebe sólo el DNS de su proveedor, sino que cualquiera puede comprobar si está parcheado cualquier servidor DNS.

(Adaptado de http://www.cyberciti.biz/faq/dns-cache-poisoning-test)

... a veces ;)

Enviado por admin el 20. Julio 2008 - 18:20.

Acabo de comprobar que en algunos casos este sistema no devuelve resultado alguno.

Si alguien sabe por qué agradecería que nos lo comentara.

Me pasa cuando el servidor no contesta o no es de DNS

Enviado por anónimo el 20. Julio 2008 - 20:19.

Me pasa cuando el servidor no es de DNS, o cuando el servidor porttest.dns-oarc.net (208.69.34.132), no está disponible, o está ocupado.

euskaltel

Enviado por anónimo el 20. Julio 2008 - 18:11.

Your name server, at 212.142.144.98, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for 543afdf7fb79.toorrr.com:
212.142.144.98:42771 TXID=9892
212.142.144.98:35547 TXID=52364
212.142.144.98:16304 TXID=30971
212.142.144.98:5931 TXID=19727
212.142.144.98:14574 TXID=42990

Your name server, at 212.142.144.66, may be safe, but the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 493.

Please talk to your firewall or gateway vendor -- all are working on patches, mitigations, and workarounds.
Requests seen for b790144202ae.toorrr.com:
212.142.144.66:49476 TXID=50167
212.142.144.66:49959 TXID=64063
212.142.144.66:49737 TXID=36102
212.142.144.66:49529 TXID=17247
212.142.144.66:49466 TXID=26665

Mundo-R

Enviado por anónimo el 20. Julio 2008 - 18:16.

La operadora gallega de cable R (o mundo-r como figura en algunos sitios) me da los siguientes resultados con los DNS que usa por defecto al conectarse con DHCP.

Your name server, at 212.51.33.110, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for b8f5f54ffd64.toorrr.com:
212.51.33.110:44331 TXID=7635
212.51.33.110:57616 TXID=10804
212.51.33.110:59623 TXID=18900
212.51.33.110:59310 TXID=24955
212.51.33.110:16722 TXID=21975

El DNS 2 también

Enviado por anónimo el 20. Julio 2008 - 21:37.

Your name server, at 212.51.33.73, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for ea02e5e1b11a.toorrr.com:
212.51.33.73:25036 TXID=42155
212.51.33.73:2450 TXID=17434
212.51.33.73:42067 TXID=19220
212.51.33.73:7680 TXID=35195
212.51.33.73:15468 TXID=1932

El nombre tal y como figura en el registro mercantil es R Cable y Comunicaciones Galicia, S.A. (así, en castellano). Además, desde el 1 de enero absorbió a R Coruña siendo ya una única empresa. Lo de mundo-R fue una parida que sacaron ellos para los correos y la web y que ni siquiera registraron como marca comercial en su momento. El nombre es R, a todos los efectos, lo cual está muy bien pensado para dificultar las búsquedas xDDD

Parece que las cableras han hecho los deberes, y las de ADSL no :(

Otro test más

Enviado por admin el 20. Julio 2008 - 18:23.

http://member.dnsstuff.com/includes/ToolHandler.php?ToolForm...

Malos vs buenos.

Enviado por anónimo el 20. Julio 2008 - 18:24.

A día de este post, Telefónica todavía vulnerable, según la prueba que hago en http://www.doxpara.com, y yo con estos pelos, sin atreverme a usar OpenDNS, como recomiendan, no sea que todo esto sea un engaño para que todos nos pasemos a OpenDNS y desde ahí nos puedan pegar un palo.

Desde que soy usuarios de ordenadores... la vida me ha hecho así de paranoico.

Ahora toca formatear la distro, configurada a lo paranoico, pues como tuve que usar Javascript para hacer la prueba... a lo mejor me colaron algún bicho.

En Internet hasta mi sombra me parece malvada. Creo que jamás usaré el DNI-e en Internet. ¡A las ventanillas!

Hace un par de días hice un ingreso en el banco y me dijeron que podía hacerlo usando la tarjeta desde el cajero automático, sin tener que estar sufriendo la espera en la cola. ¿Cómo? ¿automático? juas, para que el artefacto ese te diga... gracias por su visita y se chupe el dinero. ¡A las ventanillas. al modo físico, que si alguien se pasa por lo menos le estás viendo la cara!

Desconfía y acertarás

Enviado por anónimo el 21. Julio 2008 - 0:35.

sin atreverme a usar OpenDNS, como recomiendan, no sea que todo esto sea un engaño para que todos nos pasemos a OpenDNS y desde ahí nos puedan pegar un palo.

Pues yo, dentro de mi razonable paranoia tendria en cuenta:

traceroute to guardiacivil.org (208.69.34.132), 30 hops max, 40 byte packets
whois 208.69.34.132

¿Sorpresa?

Desde cualquier otra dns

Enviado por anónimo el 23. Julio 2008 - 11:33.

Desde cualquier otra dns guardiacivil.org no es un host valido. Lo que ocurre es que OpenDNS, redirecciona a una página de publicidad los hosts no existentes. Compruébalo con www.guardiacivil.org

Si es cierto que estas en sus manos, pero como puedes estarlo en las manos de cualquier proveedor DNS. Yo he estado haciendo comparaciones en las resoluciones y no he encontrado con ninguna que me escandalice aun, si alguien ve algo que lo diga por favor.

12345siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...