11 mar 2013

Pharming con NIC.AR, más fácil de lo que parece

Para aquellos que son habituales usuarios de la entidad argentina de registración de nombres, la situación que les voy a comentar no les sorprenderá en absoluto, dentro de las notorias limitaciones que la entidad demuestra poseer y que desde hace años promete solucionar (más allá del bonito cambio de logo realizado durante 2012).

Quienes en su afán de generar proyectos, o administrar servicios de hosting, posean cientos de nombres de dominios a su nombre les aconsejo presten atención al siguiente problema con el que se pueden ver perjudicados llegado el momento. Sin embargo, este post no está orientado a los domainers argentinos que tienen más de 200 sitios registrados y ante los cuales NIC tampoco hace nada, a pesar de existir la normativa desde hace años.

Comencemos por el principio, NIC.ar es la entidad encargada según la IANA (Internet Assigned Numbers Authority) de administrar todos los dominios bajo la denominación .AR o lo que se suele llamar en la jerga un ccTLD country code Top Level Domain (o simplemente TLD .ar). Tiene bajo su responsabilidad gestionar los dominios de la Argentina, entidad que desde diciembre de 2011 depende de la Secretaria Legal y Técnica de Presidencia de la Nación.

Hecha esta breve introducción, paso a comentarles una situación en la que me ví involucrado, y que destacó un comportamiento inentendible para nosotros de parte de NIC.ar.

Como uds sabrán luego de dar de alta un dominio, con todos los mails que van y vienen tratando de respetar las arcaicas reglas NIC.ar, llega el momento de dar de alta la delegación del dominio, momento en el cual debemos definir lo DNS que vamos a utilizar para nuestro sitio web, que para este caso será mi-nuevo-dominio.com.ar.
Al momento de querer utilizar los DNS que nuestro proveedor de hosting nos otorgó; o bien si tenemos nuestros DNS propios, si estos no existen en la base de datos de NIC, este nos exigirá que registremos esos DNS con las IPs definida a nombre de nuestra entidad.

Y aquí es donde las incoherencias comienzan, en primer lugar, ¿cuál es el control que realiza NIC para validar si realmente somos dueños de esos DNS? ¡Ninguno! o, si realiza alguno no parece cumplir su objetivo.

Y ¿si quiero registrar el DNS ns1.google.com.ar? (del cual obviamente no soy el dueño ni responsable), tampoco hay ningún problema. NIC simplemente registra lso DNS para tener una referencia interna a la cual apuntar al dar de alta las nuevas delegaciones, pero no valida en ningún momento si realmente deberíamos poder registrarlos o no.

De todas formas, supongamos que NIC tiene alguna razón (que nosotros no entendemos), para elegir este esquema; este proceso no termina allí, sino que tambíen podemos registrar DNS de cualquier otro TLD. Por lo tanto podemos registrar un DNS .com .net .es o lo que se nos venga en gana, siempre y cuando alguien no lo haya hecho antes.

Y, ¿si registramos un DNS que alguien más tendrá que usar en el futuro? Muchos proveedores de hosting como Godaddy, Rackspace o cualquier otro nos otorgan sus propios DNS al dar de alta un dominio. Muchas veces por un tema de practicidad (o porque simplemente no tenemos un DNS propio) terminamos usando estos, o bien utilizamos servicios de DNS gratuitos como ZoneEdit o CDMon, etc. (todos ellos ya registrados en NIC por alguna persona desconocida).

Ahora, si cualquiera pudo registrar estos DNS y nosotros necesitamos utilizar esos DNS "publicos" ya registrados previamente, la única opción que tenemos, es... utilizarlos, por más que el que lo haya registrado sea alguna otra persona de la que no sabemos si es el responsable por parte del proveedor, o simplemente alguien que lo necesitaba o, peor aún, alguien con malas intenciones.

Por nuestra parte podemos elegir un DNS cualquiera sin pedir ningún tipo de autorización y simplemente utilizar el nombre y la IP que nos otorgo nuestro proveedor de DNS. NIC tampoco realizará ninguna verificación adicional.

Ahora, planteemos esta situación: una persona malintencionada, registra un DNS, que es utilizado por alguna entidad con TLD .ar o cualquier otro extranjero, digamos el DNS "ns1.freedns.com". Seguramente tarde o temprano muchos usuarios usaran ese DNS cuando desde NIC se solicite delegar su dominio, ya que su proveedor les asigno los mismos y nadie tiene idea de los controles que (no) hace NIC en Argentina.

Ejemplos:
  • mi-nuevo-dominio.com.ar | Delegacion en NIC.ar | ns1.freedns.com | Resolución DNS | HOME MI NUEVO DOMINIO
  • ...
  • happy-domain.com.ar | Delegacion en NIC.ar | ns1.freedns.com | Resolución DNS | HOME HAPPY DOMAIN
En esta situación quien haya registrado el DNS "ns1.freedns.com" tiene cautivos todos los dominios que se registren y lo utilicen el futuro.

¿Por qué "cautivos"? Debido a que, quien registra el DNS originalmente es el "dueño" (solo él puede hacer cambios a través de su correo electrónico) y según la política de NIC puede modificar los datos de "su" DNS: puede cambiarle la IP asociada y/o su nombre (ns1.freedns.com en este caso).

Y aquí es donde la magia sucede. Aparentemente, la asociación que NIC realiza, de nuestro dominio, con el DNS asociado, la lleva a cabo mediante el ID del mismo, con el cual vincula TODOS los dominios apuntados al DNS con nuestro registro "ns1.freedns.com". Por lo tanto, como ya se estarán imaginando, con un simple trámite de modificación se puede realizar lo siguiente.

1. DNS actual:
  • Titular: Pepe Phishing
  • ns1.freedns.com | IP: 1.2.3.4 | Asociación por ID (ej: ID=2000) | (mi-nuevo-dominio.com.ar)
  • (happy-domain.com.ar)
  • (domain-X.com.ar)
  • ...
2. Ingreso al formulario de NIC.ar
3. Modificación de DNS
  • Nuevo nombre DNS: ns1.phisinglibre.es | Asociación por ID (ID=2000) | Nueva IP: 4.5.6.7
  • Impacta en (mi-nuevo-dominio.com.ar)
  • Impacta en (happy-domain.com.ar)
  • Impacta en (domain-X.com.ar)
  • Impacta en ...
Este cambio se replica en TODOS los dominios asociados, sin NINGÚN trámite adicional y sin ningún aviso a los dueños de los dominios (entidades responsables, técnicos o lo que sea, no llega ningún aviso por este cambio), planteandose la siguiente situación:
  • mi-nuevo-dominio.com.ar | Delegacion en NIC.ar | ns1.phising-libre.es | Resolución DNS | PHISING HOME
  • happy-domain.com.ar | Delegacion en NIC.ar | ns1.phising-libre.es | Resolución DNS | FAKE DOMAIN
  • domain-X.com.ar | Delegacion en NIC.ar | ns1.phising-libre.es | Resolución DNS | DOMINIO DE DELINCUENTE
De esta forma, es posible registrar metódicamente muchos DNS, que luego nos proveerán dominios. NIC nunca avisa a quien registra el DNS cuando alguien eligió su DNS por lo que luego se puede utilizar el DNS cambiado en forma masiva, para monetizar campañas, robo de datos, etc.

Es decir, se puede realizar Pharming simplemente realizando un trámite, sin concentimiento de quienes registraron los dominios y para utilizarlo con cualquier objetivo dañino.
Además, el mismo procedimiento se puede realizar si alguien (con malas intenciones) roba el acceso al correo electrónico de una persona que haya registrado un DNS (con buenas intenciones), ya que desde ese momento podría cambiar la delegación de dichos DNS.

Esta situación, fue reportada a NIC, en varias ocasiones, por todos los medios (correo electrónico, Facebook, Twitter y telefónicamente) con respuestas poco convincentes. Desde la parte técnica no hay preocupación alguna por mantener una política coherente en la protección al usuario y de los dominios, la cual debería ser uno de los objetivo primarios de NIC.
Es dificil de entender, cómo en un ámbito de donde se intenta evitar este tipo de técnicas, tengamos
un sistema (con constantes promesas de actualización) que nos remite 25 años hacia atrás y sin ningún tipo de intención de tomar los reportes de mejoras por parte de los usuarios.

Todo lo explicado está sucediendo actualmente en Argentina y la imagen anterior es un correo que enviado a NIC, ante una situación semejante: una persona cualquiera registró un DNS determinado y luego decidió (quizás sin mala intención) cambiar las direcciones IP.

Para prevenir que esto ocurra y, ante la ineficiencia de NIC, la única solución posible es utilizar DNS propios y tener el control de los mismos. Obviamente esta solución es viable para una organización pero es casi inaplicable para miles de usuarios que simplemente desean tener un sitio pequeño o su blog personal.

Ricardo Temperini para Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!