All posts tagged DNSSEC

La respuesta antiphishing y antipharming: DNSSEC

Un tema no tan nuevo, por lo menos en el ámbito de ICANN, ha sido presentado y recomendado por Jeff Moss en la Black Hat Technical Security Conference relacionado con la base del funcionamiento de los DNS en el tema de Nombres de Dominio y su correspondiente conversión a una dirección numérica.

Es bien sabido en el ámbito de la seguridad informática, que el phishing y principalmente el pharming, se relacionan con un redireccionamiento basado en modificaciones realizadas en la tabla de datos que los browsers utilizan para resolver una dirección… esto es:

  1. cuando yo escribo en mi browser: http://mibanco.com el resultado es que se realiza una conversión (transparente) a un dato numérico y como resultado veo el sitio web de “Mi banco”.
  2. cuando se da un ataque de pharming o phishing, lo que el  browser recibe es una dirección numérica “trucada”, esto es, me llevará a una dirección que aparenta ser la “Mi banco” y la realidad es que estoy en un sitio fraudulento que simula ser “Mi banco” y en consecuencia, sucede el robo de datos de autenticación del usuario
  3. lo más peligroso, una vez que sucede, esto no es reparable con ningún antivirus, es requisito formatear el equipo de cómputo

El mensaje de Jeff Moss brinda una solución alternativa, si los sitios en Internet utilizan el DNSSEC, esto es una tecnología que certifica la validez de la dirección del sitio que se quiere visitar a través de firmas digitales bajo un esquema de PKI, el tener resultados en los cambios de tablas de datos se reduce en gran medida.

En palabras de ICANN, esto es DNSSEC:

DNSSEC ofrece una ruta de validación para los registros. No cifra ni modifica la administración de los datos, y es compatible con versiones anteriores del DNS y las aplicaciones actuales. En otras palabras, no modifica los protocolos actuales sobre los que se basa el sistema de direcciones de Internet. Incorpora una cadena de firmas digitales en la jerarquía del DNS, donde cada nivel posee su propia firma para generar claves. Esto significa que para un nombre de dominio como www.icann.org , cada organización de la cadena debe firmar la clave de la organización inmediatamente inferior. Por ejemplo, .org firma la clave de icann.org y la raíz firma la clave de .org. Durante la validación, la DNSSEC sigue esta cadena de confianza hasta la raíz automáticamente, y valida las claves “secundarias” con las claves “principales” en el recorrido. Dado que la validación de cada clave puede estar a cargo del nivel superior, la única clave necesaria para validar el nombre de dominio completo sería la clave principal superior o la clave raíz.

Esta jerarquía significa, sin embargo, que incluso con la firma en el nivel raíz, la implementación completa de la DNSSEC en todos los nombres de dominio será un proceso largo, ya que cada nivel inferior también debe estar firmado por los operadores respectivos para completar una cadena de confianza en particular. La firma de la raíz es sólo el comienzo. Pero, es fundamental. Recientemente, los operadores de TLD han acelerado las iniciativas para implementar la DNSSEC en sus zonas (.se, .bg, .br, .cz, .pr lo hacen ahora con .gov, .uk, .ca y otros próximamente), y hay más que tienen previsto hacerlo pronto.

Para los que quieran saber más de DNSSEC… he aquí el link de ICANN correspondiente.

Image: jscreationzs / FreeDigitalPhotos.net