Linux Para Todos - Vulnerabilidad secreta en DNS

Esta información se conserva como histórico. Te recomendamos visitar el nuevo portal:
www.linuxparatodos.net

ATENCIÓN A CLIENTES

01 (55) 85908505
01 (55) 85908506
01 800 26 300 04
De 9:00 a 18:00 hrs.

MANUALES

Vulnerabilidad secreta en DNS
Autor: Isaac Lemus | Lecturas: 775 | | miércoles, 23 de julio 2008 @ 03:27 CDT |

Se sabe que a principios de este año, el investigador Dan Kaminsky descubrió una vulnerabilidad básica en el protocolo DNS que ayudaría a los atacantes a comprometer cualquier servidor de nombres, incluyendo también a los clientes.

Al parecer Kaminsky ha venido trabajando en secreto con un grupo largo de vendedores en un parche coordinado. 81 vendedores han sido listados en la advisory de la CERT.

Se dice que esta es la más grande actualización sincronizada referente a seguridad en la historia de la Internet. Específicamente el problema se encuentra en el diseño de DNS y no esta limitado a ningún producto en particular y como el servicio de DNS es usado en toda computadora conectada a Internet para localizar otras computadoras.

Aprovechándose de esta vulnerabilidad, un atacante podría fácilmente tomar control de porciones de la Internet y redirigir a los usuarios a sitios arbitrarios y/o maliciosos. Se podría inclusive reemplazar sitios web completos con otros falsos, operar sobre los falsos con contenido malicioso, capturar dominios completos de e-mail, redirigir el trafico a otros sitios, etc.

Este ataque ya habia sido documentado de cierta forma en el 2003 (Cache Poisoning using DNS Transaction ID Prediction), sin embargo se necesitaban de un gran numero de paquetes para hacer funcionar el ataque, y no era confiable. Podemos ahora decir que tenemos una estrategia más efectiva ya que podemos saber como el servidor DNS asigna los números de transacción y el puerto.

El problema radica en que las direcciones IP de origen pueden ser manufacturadas y que el ID de transacción de DNS es de 16 bits, lo cual es un poco corto para ser considerado una llave randomica usable. Ese ID, como cualquier llave que tenga implicaciones den la seguridad, debería ser de por lo menos 64 bits y ser generada por un generador de números aleatorios de grado criptografico. Otra solución elegante podría ser reemplazar la infraestructura actual de DNS por DNSSEC, solo que actualmente DNSSEC es muy complicado para popularizarlo.

Fuente:
http://netting.wordpress.com/2008/07/09/vulnerabilidad-en-dns/

Relacionado con esto...
http://netting.wordpres... Más de Isaac Lemus Más en Seguridad

Opciones de la Noticia
Versión para imprimir

Vulnerabilidad secreta en DNS | 0 comentarios | Crea una cuenta nueva

Los siguientes comentarios son de la persona que los haya enviado. Este sitio no se hace responsable de las opiniones expresadas por los participantes en los foros y secciones de comentarios, y el hecho de publicar las mismas no significa que esté de acuerdo con ellas.

CONDICIONES DE USO Imagen gráfica -ORVON Internet Service Bureau- www.orvon.com

Derechos de autor © 2010 Linux Para Todos
Todas las marcas y derechos en esta página son de sus respectivos dueños.
Puede sindicar nuestras NOTICIAS a través de el fichero RSS dando click AQUI.
O si desea sindicar el FORO DE SOPORTE TECNICO lo puede hacer dando click AQUI
O si desea sindicar los NUEVOS MANUALES lo puede hacer dando click AQUI

Otra web montada con Geeklog
Esta página fue creada en 0.12 segundos