Estas aquiContenido / Fallo crítico en DNS obliga a parchear toda Internet
Fallo crítico en DNS obliga a parchear toda Internet
Actualización [22:10]: Diferentes fabricantes están reaccionando al problema con parches e instrucciones concretas: Debian, Cisco, Infoblox, ISC, Juniper, Microsoft, Red Hat, Sun (Solaris)...
Esta vez, quien esté libre de fallo que tire el primer parche: desde Debian a Microsoft, y desde Cisco a Sun, todos han lanzado -o están a punto de hacerlo- el parche correspondiente para resolver un grave problema de diseño en el sistema de servidores de nombre de dominio (DNS), que permitiría a un atacante desviar todas las peticiones a kriptopolis.org a una imitación del sitio original, o a cualquier otro sitio que no tenga nada que ver con él.
Pese a lo que digan hoy la mayoría de los medios, el fallo es antiguo (probablemente tanto como la propia Internet) y en diversas variantes ya había sido anticipado por varios autores, aunque ahora sea Kaminsky quien parece llevarse toda la "gloria" mediática. Entre esos trabajos anticipatorios merece quizás la pena citar los de D.J. Bernstein o el presentado por Ian Green hace tres años sobre la resolución de nombres de dominio en Windows XP...
En mi modesta opinión, la nota técnica que mejor describe la vulnerabilidad es la del US CERT, pero quien prefiera un resumen técnico más comprensible puede encontrarlo en esta otra nota del SANS Institute.
Aunque los detalles exactos de este "exploit" concreto no se han revelado, se avecinan días (o semanas) de intenso parcheo para los administradores (añado: y también para los usuarios que utilizan bind y similares para cachear sus resoluciones de nombres). Mientras tanto, el propio Kaminsky ha publicado en su blog un comprobador de servidores DNS (botón "Check my DNS") que os permite comprobar si el vuestro (o en la mayoría de casos el de vuestro proveedor) sigue estando afectado y -sobre todo- cuándo deja de estarlo.
Hola:
Acabo de comprobar los servidores de DNS de mi empresa proveedora de Internet y son vulnerables en este momento. Una buena solución, que además, mejora otras cosas como la velocidad y demás, es usar OpenDNS.
Basta con poner como servidores de DNS primario y secundario:
nameserver 208.67.222.222nameserver 208.64.222.220En linux, hay que editar como root /etc/resolv.conf, comentando o borrando cualquier entrada distinta de estas dos y salvarlo.
Después de usar el famoso botón "Check my DNS" de este blog se obtiene:
Your name server, at 208.69.34.4, appears to be safe.
Requests seen for 0ccb858d4078.toorrr.com:
208.69.34.4:11427 TXID=10722
208.69.34.4:5645 TXID=6584
208.69.34.4:8983 TXID=7597
208.69.34.4:7348 TXID=1514
208.69.34.4:63252 TXID=12976
Yo además, uso un caché local de DNS, para lo que he instalado y configurado en mi sistema el paquete dnsmasq
por lo que también he añadido a mi archivo /etc/resolv.conf una línea (la primera de la lista).
nameserver localhost
Con independencia de que tenga o no activo dnsmasq, el resultado siempre es el mismo, un tranquilizador:
Your name server, at 208.69.34.4, appears to be safe.
Así que animo a todo el mundo a abandonar los servidores de DNS de su compañía proveedora de acceso a Internet y usen estos, que además de ser más seguros, en la mayoría de los casos, también son más rápidos y un rayo si además, usamos un caché de DNS como es mi caso.
Un saludo, Fernando Acero