Como dije en el último post sobre el tema de la vulnerabilidad del cache poisoning en los servidores DNS, mi idea es mantenerlos al tanto sobre los distintos avances de este tema tan problemático para todos los que usamos Internet a diario.
Primero comentarles que además de la posibilidad de chequear si sus DNS son vulnerables a través de la página de Dan Kaminsky, el descubridor de la vulnerabilidad, DNS-OARC también liberó una herramienta similar (hacer click en la opción Test my DNS en el centro de la página disponible aquí).
Es importante contar con dos herramientas porque nos dará más seguridad sobre si nuestros DNS aún son vulnerables o no.
Con lo complicado del alcance de esta vulnerabilidad, se hace más marcada la diferencia entre tres tipos de proveedores de servicios y/o software de de DNS:
- Los que ya han liberado parches y repiten continuamente las palabras “Patch now!” (“¡Parcheen ahora!”, por implementar las actualizaciones cuanto antes)
- Los que hasta ahora no han liberado o aplicado los parches, como Apple o algunos de los principales proveedores de Internet del mundo
- Los que no han sufrido vulnerabilidad ahora porque se han anticipado a la posibilidad y han implementado mayores medidas de seguridad contra el envenenamiento de caché, como OpenDNS, PowerDNS y MaraDNS
El mayor problema está en que no solo la vulnerabilidad ya es conocida públicamente, sino que ya existen herramientas para explotarlas, tales como Evilgrade, o lo incluido en Metasploit.
Lo anterior hace que ya se comiencen a encontrar algunos casos de ataques que podrían estar dándose gracias al aprovechamiento de esta vulnerabilidad, y como se dijo anteriormente, todavía hay demasiados proveedores y fabricantes que no han logrado parchear o liberar actualizaciones.
Todo esto no ha hecho que algunas soluciones ya seguras, como OpenDNS, comiencen a recibir mucha atención y las recomendaciones para utilizarlos pululan en Internet. No es que sea mala idea, todo lo contrario; si no saben si su DNS es vulnerable, o si comprueban que lo es con las herramientas anteriores, les recomiendo analizar la posibilidad de utilizar estos proveedores ya asegurados.
Algunos enlaces de interes para todos:
- Para administradores que usen Snort, en el blog de Sergio Hernando se pueden encontrar firmas para esa aplicación a fin de detectar posibles ataques aprovechando esas vulnerabilidades
- Para aquellos administradores que quieran detectar si han sufrido ataques de este tipo, existe la herramienta CacheAudit
- Una curiosidad: uno de los responsables de hacer que los exploits para esta vulnerabilidad se comiencen a masificar, fue víctima de los mismos
En resumen: si son administradores, ¡parcheen ya! Si son usuarios, comprueben si sus DNS son vulnerables, y sino, cambien a algunos que no lo sean.
"is"
No hay comentarios:
Publicar un comentario