Entre el DNS y el NSLOOKUP

Los últimos dias he recibidos varias veces la misma prergunta por parte de amigos y familiares ¿Has visto lo del fallo ese de internet que en vez de ir a tu banco vas a otro sitio?... el 9 de Julio se daba a conocer la noticia de la posible suplantación de los sitios web. De una forma sencilla diremos que un servidor DNS (Domain Name System) asocia el nombre del sitio web (www.google.es) con la dirección IP de dicho sitio, entre otras cosas.

A través de nslookup, podemos hacer algo parecido, introducimos este palabro (nslookup) en el cmd de windows o en la consola de linux, en la ventanita que nos aparece escribimos el nombre de la página web que queramos, en nuestro caso usaremos www.google.es, nslookup nos devuelve la dirección IP 66.102.9.99 escribimos este número en la barra de direcciones del navegador... y claro aparece por arte de magia google. es más sencillo para las personas recordar nombre que números, la transmutación del nombre al número la realiza el DNS.

Que ocurre si en vez de ir a 66.102.9.99 vamos a 66.230.200.100, pues que aparecemos en la wikipedia, no pasa nada, pero imaginate que esa vulnerabilidad es usada para otras muchas cosas, tu escribes la dirección web, pero el DNS no te manda al sitio web si no a otro sitio, que putada.

Parece ser que otra "vulnerabilidad" parecida se ha encontrado en nslookup, es decir, en el programa que usamos antes para pasar de nombre a IP, quizas una solución podria ser hacerse con las direcciones IP de los sitios a los que se suele visitar y guardar estos en marcadores, ¿pero que pasa si el nslookup nos suministra direcciones erroneas?, pues que tampoco sirve.

Los DNS funcionan de forma jerarquica, de forma inversa a como los escribimos, el servidor de .es conoce a .google y este a www, es decir, el dominio de nivel superior.es conoce al subdominio .google y este al nombre de la máquina www. Si los Top Level Domains como .es .com .net .org son afectados el lio está servido.

Daniel J Bernstein un gurú de la seguridad ya advirtió del "DNS poisoning" en los años 90. Desarrolló un software DNS libre de este tipo de problemas.

Dan Kaminski advirtió recientemente el uso por parte de muchos proveedores de servicios de internet de una "caracteristica no legal" del protocolo DNS para redireccionar el tráfico, cuando se teclea una dirección inexistente, el servidor DNS informa al navegador de que dicha página no existe

* Compruebe que la dirección no tiene errores de escritura
del tipo ww.ejemplo.com en lugar de www.ejemplo.com

* Si no puede cargar ninguna página, compruebe la conexión
de red de su ordenador.

* Si su ordenador o red están protegidos por un cortafuegos
o proxy, asegúrese de que su navegador tiene permiso
para acceder a la web.

Cuando se manipulaban los DNS en vez de esto aparecia una página de sugerencias, con alternativas u ofreciendo el nombre de dominio para uso del individuo que habia tecleado esa dirección, o quizás suplantando la página original aprovechando el error, haciendo creer al usuario la autenticidad de está "página impostora".

Bueno, el tema es que si alguien consigue hacerse con el "dominio" de los servidores DNS podremos escribir lo que nos dé la gana en nuestro navegador que se nos enviará a donde le salga de las narices al cacharro del demonio, algo no apto para paranoicos.

En US-CERT dan una explicación pormenorizada del problema y Dan Kaminski en su blog chequea los DNS, veremos como sigue el asunto.

De momento no hay chucherias automatizantes de ataques pero al tiempo. Algunos ya han sufrido las consecuencias como se puede leer en US-CERT.