Los detalles de la vulnerabilidad en el protocolo DNS, descubiertos
Desde el 8 de julio se está produciendo uno de los episodios más
curiosos vividos nunca en la red. Se publicó ese día una actualización
masiva para la mayoría de los dispositivos en Internet que utilizan DNS.
Se dijo que había sido descubierta una vulnerabilidad que permitía
falsificar las respuestas DNS, y por tanto redireccionar el tráfico.
Casi todos los grandes y pequeños fabricantes y programadores
actualizaron sus sistemas y se intentó mantener los detalles técnicos
de la vulnerabilidad ocultos, por la gravedad y el potencial impacto
que podría suponer. Finalmente, dos semanas después, se conocen los
detalles.
Toda vulnerabilidad es importante y tiene un potencial impacto en la
red. Sin embargo, cuando hablamos de la resolución de nombres y de
problemas en los servidores DNS, la gravedad se multiplica porque se
supone que los servidores DNS sustentan la red. Dan Kaminsky había
descubierto un fallo de base en el protocolo que permitía a cualquiera
falsificar las respuestas de un servidor. No era problema de ningún
fabricante sino de casi todos, un fallo de diseño de un estándar usado
en todo Internet. En un importante esfuerzo de coordinación todos los
grandes fabricantes están publicado sus actualizaciones desde el día
8 de julio.
Pero Dan Kaminsky no daba detalles sobre el asunto. Era demasiado grave
y pensaba que sería irresponsable proporcionar esa información sin dar
suficiente tiempo a todos los administradores para actualizar. Del
parche no se podía deducir el problema puesto que simplemente añadía
aleatoriedad y entropía a ciertos valores que desde hace mucho se sabía
que no eran la mejor solución para asegurar el protocolo. Es por esto
que se apostaba desde un principio por que la vulnerabilidad de Kaminsky
se tratara en realidad de una nueva forma más eficaz de engañar a los
servidores DNS para que den respuestas falsas, gracias a un fallo
inherente del protocolo (y así ha sido).
Kaminsky daría los detalles un mes después, en la conferencia Black Hat
de agosto. Por una parte, el descubridor estaba siendo responsable
(dando tiempo a los administradores) pero tremendamente mediático por
otra (creando una expectación exagerada en torno a la conferencia).
Todo esto, ayudado por la desinformación de los medios generalistas
ha ayudado a que la desconfianza siguiese creciendo. Todos defendían
su teoría: desde el escéptico hasta el que hablaba de la debacle de la
Red. Sólo un grupo de personas concretas conocía los detalles técnicos,
y tenían instrucciones de no revelarlos y de evitar las especulaciones
públicas. Kaminsky pretendía así ingenuamente asegurarse que sólo él
daría los detalles cuando lo tenía planeado, cumpliendo así la segunda
parte de su plan una vez publicadas las actualizaciones. Imposible...
poco después las listas estaban llenas de comentarios y elucubraciones.
Afortunadamente en la seguridad informática siempre hay alguien que
va más allá. Thomas Dullien, el CEO de la compañía Zynamics (también
conocido como Halvar Flake) se aventuró a publicar en su blog su
particular visión de lo que podía ser el problema descubierto por
Kaminsky, sin tener conocimiento previo de los detalles. Y no se
equivocó en su teoría. La insinuación de que estaba en lo cierto vino
desde varios frentes (entre ellos desde un post en Twitter del propio
Kaminsky), pero lo confirmó totalmente una entrada del lunes pasado en
el blog de Thomas Ptacek, director la compañía Matasano que era de los
que conocía los detalles reales. La entrada estaba firmada por un/a tal
"ecopeland" del equipo de Ptacek. Según linkedin.com existe un/a Erin
Ptacek (Copeland), desarrollador/a de software en Matasano (¿familiar
del director?). En el post se daba la razón a Dullien, junto con todo
lujo de detalles sobre el fallo que Dullien había 'redescubierto'. La
explicación fue retirada poco después (actualmente está disponible a
través de la caché de Google). Ptacek se ha disculpado públicamente,
probablemente se dejó llevar por su ánimo de compartir la información.
Demasiado tarde... ya circula libremente por Internet.
Los detalles técnicos pueden ser encontrados en el apartado de más
información. No tardarán en aparecer exploits. Ahora la gravedad del
problema se multiplica. Afortunadamente casi todos los fabricantes han
publicado ya un parche.
Aunque se conocía el problema desde enero, Kaminsky trabajó intensamente
con los grandes fabricantes para mantenerlo en secreto y coordinar la
aparición de parches un día concreto (que tuvo que coincidir con el día
de actualización de Microsoft). Esto resulta extremadamente complicado,
y hay que reconocer que ha debido resultar un trabajo complejo el
coordinar y mantener la discreción sobre un tema tan delicado. Un
esfuerzo elogiable. Sin embargo desde que se anunció la existencia del
problema, sólo se han necesitado dos semanas para que sea desvelado,
frustrando el plan de Kaminsky de aguantar un mes hasta la Black Hat
para revelar los detalles.
Son muchas las moralejas y conclusiones que se pueden extraer de este
incidente. De nuevo el debate sobre la revelación responsable de
vulnerabilidades, la fuerza del ego de muchos investigadores, la
demostración de que un esfuerzo coordinado para una actualización masiva
ante un problema común es posible... pero sobre todo llama la atención
la capacidad de Thomas Dullien de redescubrir un problema que siempre
habría estado ahí, pero que no se había planteado buscar hasta que
alguien apuntó que existía. Dullien contaba con las bases (el protocolo
DNS sufre de problemas inherentes conocidos) sólo había que mover las
piezas para encontrar lo que podía ser el fallo que otro decía ya saber.
Y acertó. Una de las mejores formas de captar el interés de un asunto,
(aunque siempre haya estado ante nuestras narices y creamos conocerlo)
es afirmar que oculta un secreto.
Más información:
Kerfuffle erupts as DNS flaw described
http://www.securityfocus.com/brief/779
Reliable DNS Forgery in 2008
http://amd.co.at/dns.htm
On Dan's request for "no speculation please"
http://addxorrol.blogspot.com/2008/07/on-dans-request-for-no-speculation.html
Regarding The Post On Chargen Earlier Today
http://www.matasano.com/log/1105/regarding-the-post-on-chargen-earlier-today/
Sergio de los Santos
[email protected]
Fuente:
http://www.hispasec.com/unaaldia/3559/
curiosos vividos nunca en la red. Se publicó ese día una actualización
masiva para la mayoría de los dispositivos en Internet que utilizan DNS.
Se dijo que había sido descubierta una vulnerabilidad que permitía
falsificar las respuestas DNS, y por tanto redireccionar el tráfico.
Casi todos los grandes y pequeños fabricantes y programadores
actualizaron sus sistemas y se intentó mantener los detalles técnicos
de la vulnerabilidad ocultos, por la gravedad y el potencial impacto
que podría suponer. Finalmente, dos semanas después, se conocen los
detalles.
Toda vulnerabilidad es importante y tiene un potencial impacto en la
red. Sin embargo, cuando hablamos de la resolución de nombres y de
problemas en los servidores DNS, la gravedad se multiplica porque se
supone que los servidores DNS sustentan la red. Dan Kaminsky había
descubierto un fallo de base en el protocolo que permitía a cualquiera
falsificar las respuestas de un servidor. No era problema de ningún
fabricante sino de casi todos, un fallo de diseño de un estándar usado
en todo Internet. En un importante esfuerzo de coordinación todos los
grandes fabricantes están publicado sus actualizaciones desde el día
8 de julio.
Pero Dan Kaminsky no daba detalles sobre el asunto. Era demasiado grave
y pensaba que sería irresponsable proporcionar esa información sin dar
suficiente tiempo a todos los administradores para actualizar. Del
parche no se podía deducir el problema puesto que simplemente añadía
aleatoriedad y entropía a ciertos valores que desde hace mucho se sabía
que no eran la mejor solución para asegurar el protocolo. Es por esto
que se apostaba desde un principio por que la vulnerabilidad de Kaminsky
se tratara en realidad de una nueva forma más eficaz de engañar a los
servidores DNS para que den respuestas falsas, gracias a un fallo
inherente del protocolo (y así ha sido).
Kaminsky daría los detalles un mes después, en la conferencia Black Hat
de agosto. Por una parte, el descubridor estaba siendo responsable
(dando tiempo a los administradores) pero tremendamente mediático por
otra (creando una expectación exagerada en torno a la conferencia).
Todo esto, ayudado por la desinformación de los medios generalistas
ha ayudado a que la desconfianza siguiese creciendo. Todos defendían
su teoría: desde el escéptico hasta el que hablaba de la debacle de la
Red. Sólo un grupo de personas concretas conocía los detalles técnicos,
y tenían instrucciones de no revelarlos y de evitar las especulaciones
públicas. Kaminsky pretendía así ingenuamente asegurarse que sólo él
daría los detalles cuando lo tenía planeado, cumpliendo así la segunda
parte de su plan una vez publicadas las actualizaciones. Imposible...
poco después las listas estaban llenas de comentarios y elucubraciones.
Afortunadamente en la seguridad informática siempre hay alguien que
va más allá. Thomas Dullien, el CEO de la compañía Zynamics (también
conocido como Halvar Flake) se aventuró a publicar en su blog su
particular visión de lo que podía ser el problema descubierto por
Kaminsky, sin tener conocimiento previo de los detalles. Y no se
equivocó en su teoría. La insinuación de que estaba en lo cierto vino
desde varios frentes (entre ellos desde un post en Twitter del propio
Kaminsky), pero lo confirmó totalmente una entrada del lunes pasado en
el blog de Thomas Ptacek, director la compañía Matasano que era de los
que conocía los detalles reales. La entrada estaba firmada por un/a tal
"ecopeland" del equipo de Ptacek. Según linkedin.com existe un/a Erin
Ptacek (Copeland), desarrollador/a de software en Matasano (¿familiar
del director?). En el post se daba la razón a Dullien, junto con todo
lujo de detalles sobre el fallo que Dullien había 'redescubierto'. La
explicación fue retirada poco después (actualmente está disponible a
través de la caché de Google). Ptacek se ha disculpado públicamente,
probablemente se dejó llevar por su ánimo de compartir la información.
Demasiado tarde... ya circula libremente por Internet.
Los detalles técnicos pueden ser encontrados en el apartado de más
información. No tardarán en aparecer exploits. Ahora la gravedad del
problema se multiplica. Afortunadamente casi todos los fabricantes han
publicado ya un parche.
Aunque se conocía el problema desde enero, Kaminsky trabajó intensamente
con los grandes fabricantes para mantenerlo en secreto y coordinar la
aparición de parches un día concreto (que tuvo que coincidir con el día
de actualización de Microsoft). Esto resulta extremadamente complicado,
y hay que reconocer que ha debido resultar un trabajo complejo el
coordinar y mantener la discreción sobre un tema tan delicado. Un
esfuerzo elogiable. Sin embargo desde que se anunció la existencia del
problema, sólo se han necesitado dos semanas para que sea desvelado,
frustrando el plan de Kaminsky de aguantar un mes hasta la Black Hat
para revelar los detalles.
Son muchas las moralejas y conclusiones que se pueden extraer de este
incidente. De nuevo el debate sobre la revelación responsable de
vulnerabilidades, la fuerza del ego de muchos investigadores, la
demostración de que un esfuerzo coordinado para una actualización masiva
ante un problema común es posible... pero sobre todo llama la atención
la capacidad de Thomas Dullien de redescubrir un problema que siempre
habría estado ahí, pero que no se había planteado buscar hasta que
alguien apuntó que existía. Dullien contaba con las bases (el protocolo
DNS sufre de problemas inherentes conocidos) sólo había que mover las
piezas para encontrar lo que podía ser el fallo que otro decía ya saber.
Y acertó. Una de las mejores formas de captar el interés de un asunto,
(aunque siempre haya estado ante nuestras narices y creamos conocerlo)
es afirmar que oculta un secreto.
Más información:
Kerfuffle erupts as DNS flaw described
http://www.securityfocus.com/brief/779
Reliable DNS Forgery in 2008
http://amd.co.at/dns.htm
On Dan's request for "no speculation please"
http://addxorrol.blogspot.com/2008/07/on-dans-request-for-no-speculation.html
Regarding The Post On Chargen Earlier Today
http://www.matasano.com/log/1105/regarding-the-post-on-chargen-earlier-today/
Sergio de los Santos
[email protected]
Fuente:
http://www.hispasec.com/unaaldia/3559/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!