Siempre es DNS, pero no de la manera que crees
Un chiste popular entre los tecnólogos dice que siempre es DNS, incluso cuando inicialmente no lo parecía. Los problemas de DNS vienen en muchas formas y formas, incluidos algunos problemas de seguridad que a menudo se pasan por alto.
El DNS (abreviatura de Sistema de nombres de dominio) sigue describiéndose como «la guía telefónica de Internet», pero muchas personas, incluida la mayoría de los lectores de este blog, estarán más familiarizadas con el funcionamiento básico del DNS que con el fenómeno obsoleto del papel. guías telefónicas.
Además, DNS hace mucho más que convertir nombres (como horizontesciberseguridad.net) en números (como 192.229.182.232). Permite que el propietario de un dominio responda a preguntas de las que solo él puede saber la respuesta, como cuáles son los servidores de correo para el dominio o qué clave pública se usa para DKIM. A veces, el DNS simplemente se usa para dar una respuesta específica, simplemente para probar la propiedad de un dominio.
Por lo tanto, la seguridad del DNS es vital para el funcionamiento de Internet en la actualidad. La mala noticia es que, desde el primer momento, de la tríada CIA (confidencialidad, integridad y disponibilidad), el DNS no proporciona ninguno.
Las solicitudes y respuestas de DNS se envían en claro para que su ISP o cualquier entidad que toque los cables de Internet pueda ver las solicitudes que se realizan desde sus dispositivos. También pueden modificar las respuestas o incluso bloquearlas por completo.
Esto no es un riesgo teórico. El país en el que vivo requiere que los ISP envíen a los usuarios que intentan acceder a un sitio de juego extranjero o sin licencia a una página web del gobierno haciendo que sus resolutores (los servidores que manejan las respuestas DNS) devuelvan una dirección IP diferente. Esto se puede eludir fácilmente utilizando un resolutor extranjero en su lugar, pero algunos países obligan a los ISP a modificar o bloquear incluso las solicitudes a los resolutores más allá de su control, lo que bloquea efectivamente el acceso a ciertos sitios web y servicios.
Sin embargo, este tipo de censura no es el único problema de seguridad con el DNS. Cambiar las respuestas de DNS cuando alguien está tratando de acceder a un sitio bancario o de correo web haría que el phishing fuera efectivo. Afortunadamente, la ubicuidad de HTTPS y los protocolos relacionados significa que, en tales casos, el navegador generalmente arrojará un error en lugar de mostrar el sitio web falso.
Aún así, los tecnólogos de Internet han reconocido durante mucho tiempo las deficiencias del DNS y han creado una serie de adiciones de seguridad además del protocolo inseguro. Uno de estos, DNSSEC, ha existido por un tiempo. Autentica las respuestas para evitar que alguien sea enviado a un sitio web incorrecto.
Más recientemente, las solicitudes de DNS se envían cada vez más a través de TLS o HTTPS, que maneja tanto la autenticación como el cifrado. El recientemente anunciado ODOH (Oblivious DNS-over-HTTPS) va un paso más allá y anonimiza la dirección IP que realizó la solicitud del resolutor, lo que hace que el DNS sea realmente privado.
Si bien estas adiciones no están completamente libres de controversia (las organizaciones que filtran el tráfico de DNS malicioso deberán hacerlo en un resolutor local en lugar de depender de que el DNS se envíe en claro), convierten el DNS en un protocolo totalmente encriptado y autenticado con algo de anonimato opcional añadido en la parte superior.
eso es genial Desafortunadamente, no es todo lo que importa.
Cuando se realiza una solicitud de DNS, la respuesta en última instancia proviene de lo que se denomina un servidor de nombres autorizado, o un servidor que está autorizado para dar respuestas de DNS. Mediante la interfaz de un registrador de dominios (la entidad donde se registra un dominio), el propietario del dominio puede asignar uno o (generalmente) más servidores para que tengan autoridad. También pueden establecer las respuestas que se darán, por ejemplo, en qué dirección IP está alojado el sitio web del dominio o cuáles son sus servidores de correo.
El riesgo de seguridad aquí está en «ellos». ¿Qué ocurre si no es el propietario del dominio sino una persona o entidad deshonestas la que ha obtenido acceso a la interfaz del registrador?
Como se mencionó, el simple hecho de poder enviar a los usuarios a un sitio web falso a menudo no es suficiente para phishing debido a otras protecciones que existen. Pero resulta que, en última instancia, muchas de estas protecciones también dependen del DNS.
En particular, para obtener un certificado TLS, que se utiliza para demostrar a los navegadores que un sitio web compatible con HTTPS es el real, es necesario poder enviar una respuesta de DNS específica, alojar un archivo específico en un sitio web o responder a un correo electrónico enviado a una dirección en el dominio. Aquí es crucial que el adversario pueda controlar todas las respuestas de DNS, no solo las enviadas a través de una red específica, pero esto es exactamente lo que sucede cuando tiene el control de la cuenta en un registrador. En este caso, el acceso durante un breve período de tiempo sería suficiente.
En 2017, una destacada empresa de seguridad holandesa revelado habían sido víctimas de un hack de este tipo, que llevó a un adversario a realizar un ataque MitM en el portal de clientes de la empresa. El acceso a la cuenta del registrador probablemente se obtuvo a través de una contraseña robada, sin autenticación de dos factores. Si bien esto puede parecer un error obvio, las cuentas de registrador rara vez se inician sesión y, por lo tanto, pueden olvidarse durante una evaluación de seguridad interna.
Más recientemente, varios proveedores de criptomonedas también fueron hackeados a través de su registrador. En este caso, los empleados del registrador fueron víctimas de una estafa de phishing que les dio a los actores malintencionados acceso interno a las cuentas, lo que les permitió realizar los cambios necesarios para hacerse cargo de los servicios.
Si bien hay formas de proteger las cuentas de los registradores (el uso de la autenticación de dos factores es obvio), la protección contra ataques internos en un registrador es notoriamente difícil. Aquellas organizaciones para las que este tipo de ataques son un riesgo grave pueden querer considerar ejecutar sus propios servidores de nombres autorizados para que al menos controlen completamente la seguridad de su DNS.
Eso no impide que un adversario con acceso a una cuenta de registrador cambie los servidores de nombres autorizados (lo que dificultaría significativamente cualquier cambio), pero esto es algo en lo que un bloqueo de registro puede hacer una gran diferencia.
Los DNS son los tornillos que mantienen unida a Internet. Las adiciones recientes lo han hecho bastante seguro. Pero queda un punto débil que a menudo se pasa por alto y que podría hacer que toda su presencia en Internet se vea comprometida. Por lo tanto, cualquier organización que se preocupe por la seguridad debería tomar esto en serio.