Este artículo tiene miga, en él se tratan conceptos que puede que varios lectores no conozcan, así como algunos de los términos usados; por ello vamos a explicar todo aquello que pueda costar comprender. En caso de que tengáis alguna duda podéis dejarla en los comentarios de abajo y las atenderemos en cuanto podamos, que suele ser muy rápido.
Para ponernos en situación:
Hace varios años, gracias a un ingenioso tipo de ataque cibernético, se interceptaban las peticiones DNS y el mensaje de respuesta era sustituido por otras direcciones para enviar al usuario a otros servidores, donde podía ser atacado.Para solucionar esto, mediante las firmas digitales se implementó el protocolo de seguridad DNSSEC. Este sistema se ha mantenido prácticamente sin cambios desde que apareció en 2010. Su clave tiene una longitud de 1024 bits y, para garantizar la seguridad, se doblará esa medida, haciendo así aún más difícil su ruptura.
Hay soluciones
Aunque a día de hoy no ha sido descifrada, la corporación que está detrás de este servicio, ICANN (Internet Corporation for Assigned Names and Numbers o Corporación de Internet para la Asignación de Nombres y Números) ha tomado esta medida, que empezará a aplicarse en septiembre/octubre de 2017. La clave actual tendrá vigencia hasta enero de 2018 por cuestiones de compatibilidad durante la transición. Cabe destacar que este cambio sera totalmente transparente para el usuario y que no se tendrá que preocupar de nada.
¿Os suena….?
Es posible que, a finales del mes de octubre de este año, alguno de nuestros lectores haya tenido noticia al respecto de un ataque al servicio DNS, o haya experimentado las consecuencias, dado que servicios de las compañías Box, CNN, Disqus, Fox, GitHub, GrubHub, HBO, Netflix, PayPal, Pinterest, Playstation, Reddit, Spotify, Twitter, Yelp o Zoho fueron afectados. Pero el ataque no aparentaba ser de tipo DDoS (Distributed Denial of Service o ataque Distribuido de Denegación de Servicio), sino que los sitios web parecían no estar activos. Y es que no fue un ataque a cada una de las empresas, ya que sus servidores funcionaban perfectamente. Se hubiese accedido sin problemas a ellas escribiendo su dirección IP (ya sabéis, XXX.XXX.X.X, por ejemplo). Fue un ataque de DDoS a la empresa DynDNS (Dynamic Network Services, Inc.), cuyo principal servicio es ofrecer soluciones de DNS en direcciones IP dinámicas y las empresas anteriores eran clientes de esta última.
En el Colaboratorio vamos a crear una serie de post en los que enseñaremos cómo funciona mas detenidamente el servicio DNS y practicaremos con BIND9, el servidor DNS más usado en Internet, bajo licencia BSD (un tipo de licencia de software libre desarrollada por la Universidad de Berkeley).
La imagen de cabecera tiene licencia CC BY-3.0
Ver comentarios (8)
Muy interesante el dato, compañero. Muchas ganas de ver tus próximos artículos sobre este tema :)
Jejeje! Muchas gracias, tu review de Fedora 25 creo que es mas interesante, para quien no lo haya leido: https://colaboratorio.net/juan/colaboratorio/2016/fedora-25-wayland-mas/
Ay, nuestro chiquitín...que se está haciendo mayor... xD
jejejeje. Rodeado de talento algo se me tiene que pegar... ;)
Eres un crack, y si no se ve ya, ¡al tiempo! ¡Yo creo que pa'mañana ya estás!
Muy interesante el post, ¡gracias!
Una duda que me surge. Hablas sobre el ataque a DynDNS, pero por lo que entiendo, esta mejora de seguridad no hubiera solucionado ni paliado el ataque que sufieron ¿verdad?
Efectivamente, la medida de seguridad del aumento de la clave es solo porque pasado ya un tiempo, a base de incesantes intentos se podría dar con ella, aun no habiendo indicios de ello puede haberse dado el caso y explotarse esa vulnerabilidad por ello prefieren curarse en salud. Por otro lado el ataque a DynDNS ha dado a conocer una carencia en seguridad que no se había previsto y que seguro que se implantará en un futuro alguna medida. Es bien sabido de los ataques de DDoS a servidores web pero hasta ahora no se ha datado de ataques servidores DNS.
Afecta este cambio también a OpenDNS? ...openDNS es el servicio que tengo configurado en mi Router (con firmware DD-WRT) y por consecuencia en mis equipos.
Seria muy interesante si por favor, también pudieran tratar de abordar este tema. Con openDNS usando el filtro por defecto "Moderado" puedo evitar bastante de la basura que hay en la Web.
Este proyecto Colaborativo va a todo y con todo, gracias muchachos!!