Lo que se temía ha ocurrido. La publicación de algunas teorías ha llevado a la deducción del fallo de DNS publicado por Kaminsky, y se han detectado ya algunos ataques, así como comportamientos extraños en varios servidores.
El fallo en el registro de nombres de dominio (DNS), descubierto por Dan Kaminsky, viene siendo objeto de discusión desde principios de mes, cuando varias empresas implementaron un parche para solucionar el mismo. Otras compañías sin embargo no consideraron importante el problema o directamente no comprobaron sus servidores.
La realidad es que ya se han registrado varios ataques que se aprovechan del agujero de seguridad y existen exploits públicos del problema.
Kaminsky descubrió que es posible "envenenar" el caché de un servidor DNS, pudiendo desviar el tráfico del mismo. El ataque no tendría como objetivo dañar el servidor o el software que éste contiene, sino agregar datos falsos. Éstos serán tomados como válidos y cualquier solicitud realizada al servidor DNS, puede dar respuestas erróneas llevando a los usuarios directamente a sitios maliciosos o comprometidos, manteniendo la dirección escrita en el navegador.
Los investigadores han observado los registros de varios servidores con un comportamiento anormal, aunque se especulan con muchas teorías. Sin embargo, concluyen en que algunos servidores de Internet, sobre todo ubicados en países de la antigua Unión Soviética, están actuando de manera muy sospechosa, haciendo solicitudes que difieren a los exploits que usualmente se han visto. Nada bueno para quienes están a cargo de la seguridad informática.
De acuerdo con la nota publicada por Rich Mogull, los usuarios de Apple estarían en peligro porque los servidores de la compañía son vulnerables y la misma no ha solucionado el problema el cual afectaría a Mac OS X y Mac OS X Server.
Por su parte, Microsoft ha publicado un aviso sobre la elevación de esta amenaza y su recomendación de sobre aplicar el parche del boletín MS08-037, vulnerabilidad en DNS en Windows.
Muchos proveedores importantes de Internet, también son vulnerables aún, tal vez porque el trámite burocrático para proceder al cambio o actualición del software, suele llevar varias semanas.
Serían vulnerables todos los servidores DNS "recursivos", los clientes DNS (usuarios) y los dispositivos NAT (Network Adress Translator) y cortafuegos que manejen puertos UDP con randomización.
Aunque en varios sitios consideran que los usuarios no deben preocuparse porque nada pueden hacer, es aconsejable mantener el sistema operativo actualizado con los últimos parches, al igual que el software antivirus activo y al día.
Fuente : http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1039
