Ataque de fuerza bruta, Backdoor y Robo de DNS
“Dns una puerta olvidada”
Para muchos autores y líderes en el mundo de la administración de empresas, la información es el principal activo de una organización. Este criterio ha aumentado en los últimos años aunque otros difieren dándole la importancia a otras entidades interna como es el caso del personal o factor humano, otros a los clientes y en fin un sin número de ideas encontradas con respecto al principal valor de una organización.
Cuando miramos los indicadores de todo el mundo con relación al crecimiento de solicitudes para ocupar una vacante laboral en el área de seguridad de la información, podemos ver que tanto ha crecido la necesidad y la conciencia en temas de el valor de la información como activo de una organización.
Hoy día la demanda de personal para trabajar en áreas relacionada a seguridad de la información estás orprendiendo a las empresas reclutadoras en todo el mundo y esto es un ejemplo claro del criterio que se está tomando con relación a el principal activo de forma práctica, esto ciertamente obedece a la necesidad de salvaguardar ese activo tan delicado y además tan codiciados no solo por la competencia tambiénse agregan otros actores.
El personal de seguridad de la información, los administradores de sistemas, los integradores de tecnología y todos los relacionados en brindar soluciones técnicas en gran parte están orientados a la protección de la información, cerrando puertas consideradas normalmente como vulnerables y vectores de ataques comunes.
Dentro de esos ataques que personalmente considero comunes están los de Fuerza Bruta, Backdoor y los Robos de DNS.
Paso a describir en breves palabras cada uno, de forma que podamos separar cada ataque y porque no, podríamos realizar algún tipo de relación entre ellos mediante un ataque coordinado, donde se pudiera aprovechar en caso de existir las tres opciones o vectores de ataques ante algunas vulnerabilidades.
Los ataques de fuerza bruta podríamos considerarlo a la vista de un personal ya entrenado y a la luz de un técnico como, tal vez el tipo de ataque más básico. Su meta es encontrar la forma de entrar u obtener las credenciales necesarias mediante una cadena de texto probando combinaciones hasta el número posible de ella.
Este suele ser uno de los primeros recursos en que los atacantes utilizan a la hora de verse frente a una situación y esto es debido, aunque siendo tan común todavía sigue dejando buenos resultados, ya que la sencillez de las contraseñas que usan los usuarios le dan ese valor de vigencia hoy día, pese a todas las informaciones y campañasque se han realizado sobre este particular.
Otro ataque muy conocido son los llamados backdoor o puertas traseras, este ataque se refiere a un agujero de seguridad o una puerta secreta dejada por el desarrollador para de alguna formaentrar a un sistema informático sin ser detectado. Esto ciertamente puede ser mal intencionado o no, de ahí la confusión entre backdoor y troyanos que pudiera ser un tema a tratar en otra ocasión.
En palabras simples podemos expresar que es una vulnerabilidad que permite entrar a un servidor, pagina web, Red,etc. sin ser detectado y con ciertos privilegios o no, para poder hacer casicualquier cosa.
Podríamos crear una lista extensa deposibles puertas o blancos de ataques ya conocidos en este mundo, pero ciertamente todos conocemos de cuales se tratan, en esa lista muy difícil no este el tema de los DNS.
El factor sorpresa no está en lapresencia de los DNS, está en que saltamos ese paso de nuestro check-list enmuchas de las ocasiones considerando que no es tan relevante el aseguramiento, dejando de lado para una segunda fase de la implementación asegurar los DNS y este caso se presenta mayormente en las infraestructuras locales.
Antes de continuar es preciso indicarla importancia de los DNS y que son.
Los DNS, son las siglas que forman las palabras de Domain Name System o en español sistema de nombres de Dominio.
Este sistema de nombres de dominio sirve para indicarle al usuario cuando escribe un dominio por ejemplo: solteda.com a que servidor debe ir a escoger la página web a consultar.
La pagina web www.solteda.com realmente esta operando bajo una dirección ip, esta dirección podría ser 107.154.165.228. DNS es capaz de convertir estos 12 números en un identificador más fácil de manejar y recordar para los humanos, a este identificador les denominamos nombre de dominio. Imagine usted tener que recordar 12 números cada vez que requiera entrar a una página web o un servicio web interno dentro de su organización, es un trabajo enorme y en muchas ocasiones tomando como referencia el gran volumen de servicios web que manejamos hoy día, es imposible llevar estos números en nuestra memoria, por eso se creó el sistema de nombres de dominio para ayudarnos creando términos y denominaciones más fáciles de recordar.
Este sistema que ya sabemos de qué se trata debe ser asegurado por múltiples razones.
En los últimos años se ha incrementado el ataque al DNS y es evidente cómo los medios de comunicación a nivel global están publicando cada dia mas noticias de ataque a este protocolo, al parecer se han dado cuenta los delincuentes informáticos del olvido que se ha tenido con esta puerta.
La Internet Corporation for Assigned Names and Numbers (ICANN), quien es la organización sin fines de lucro que opera a nivel internacional y es responsable de asignar espacio de direcciones numéricas de protocolo de internet (IP), identificadores de protocolos y de las funciones de gestión del sistema de nombres de dominio de primer nivel genéricos (gTLD) y de códigos de países (ccTLD), así como de la administración del sistema de servidores raíz, anunció recientemente la necesidad de asegurarlos DNS ya que internet a nivel global sufre un ataque en su infraestructura sin presidentes.
Muchas empresas de todos los sectores económicos reportan a diario ataques, otras no lo hacen pero son atacadas también, como es el caso de los ISPde todo el mundo registrándose recientemente ataques dirigidos a los modem de los suscriptores aprovechando una vulnerabilidad en el firmware.
Estos reportes son los que nos ayudan a mantener un indicador de cómo marcha en el ambiente real el nivel de ataques, pero es mayor el número de empresas que no no hacen reportes, incluso tienen políticas internas que descarta la posibilidad de hacerlo aun a los fabricantes de las soluciones integradas en sus instalaciones.
Actividades como DNS Spoofing son hoy día comunes y fácil de realizar debido a la gran cantidad de informaciones que existen en internet, permitiendo que hasta personas con conocimientos generales pueda realizar ataques a una institución desprotegida y este se convierta en pérdidas millonarias para su víctimas. Cabe destacar que este ataque busca afectar la experiencia del usuario tratando de deshabilitar, ralentizar odesviar a otro lado las peticiones, de hecho es uno de los ataques más comunesa DNS.
Otro ataque que se puede considerarde los más empleado es el DDoS Al server DNS, en el los servidores se ven saturados ya que su tráfico se hace excesivo e incontrolable.
Para entender el impacto que hagenerado esta puerta olvidada solo es mirar los indicadores y analizar el hecho de que el 77% de las organizaciones están sujeta a ataques DNS.
Otro dato importante son las mediciones que se realizaron en el 2018, estas indicaron el aumento siendo este de un 57% con relaciónal 2017 “solamente a ataques al DNS”.
El auge estan alto que el mismo departamento de seguridad nacional de los estados unidos americanos, ordenó una directiva de emergencia para todas las agencias federales, la cual indica al personal de TI auditar los registros de DNS para los dominios administrados por la agencia, dicha medida corresponde al 23 enero 2019
Como podemos observar esa puerta olvidada esta haciendo que hasta los organismos de seguridad de los países considerados potencias económicas tengan que realizar ciertos parches de políticas de seguridad, ya que en otros tiempos se consideraba vulnerable pero no llamaba tanto la atención a pesar de los grandes ataques que ha tenido durante todo este tiempo, hoy dia es prioridad a tal punto de crear capítulos de concientización para la correcta gestión deesta puerta que anteriormente se nos había olvidado.
Todos sabemos que existen posibilidades de asegurar nuestras infraestructuras, pero pocos nos detenemos a optimizar de forma segura DNS y este porcentaje aumenta en los dominios locales,donde el sysadmin en raras ocasiones luego de su servicio estar corriendo como comúnmente denominamos los informáticos, se detiene a dedicar un tiempo en la administración de la seguridad de ese servicio.
Este pequeño detalle que se nos olvida, ha permitido que miles de empresas de todo el mundo pierda información valiosa y no tanto aquellas que la perdieron hoy es imposible determinarc uántas están perdiendo informaciones de mucho valor incluso de propiedad intelectual copiada.
Claro está, es posible añadir una capa de seguridad a DNS usando la extensión de seguridad o Security Extensions, conocido como DNSSEC (Domain Name System Security Extensions).
Con DNSSEC se entiende que se previenen una gran cantidad de posibles actividades maliciosas o ataques.
Cuando utilizamos DNSSEC se añaden firmas digitales en cada una de las partes como el dominio, el servidor DNS yRegistry.
Esta capa apuesta a la mejor opción a la hora de asegurar el DNS pero es un proceso que en el ambiente local no estátan presente hoy día por múltiples razones que lo comentaremos en otra oportunidad.
Además de DNSSEC existen otras propuesta ya utilizadas hoy día por empresas como google, en este caso hablo específicamente de DNS-over-TLS.
DNS-Over-TLS es un nuevo protocolo de seguridad que permite la comunicación con el servidor de forma mucho más segura y privada, esto se debe a que usa un cifrado de extremo a extremo que ni terceros ni el propio administrador puede interceptar, modificar o simplemente monitorear las solicitudes.
El problema con esta solución es que al día de hoy los sistemas operativos más comunes no son compatibles de forma nativa, aunque a como apuntan los indicadores con respecto a esta puerta olvidada, todo es cuestión de tiempo para verlo quizás en las versiones más recientes de sistemas operativos como Ms Windows, MacOS y distribuciones de Linux más comunes.
Claro está, existen alternativas de terceros actualmente que permiten proteger nuestras integraciones DNS con el protocolo citado anteriormente, se tratan de software que se instalan para aprovechar las características de esta opción.
Como podemos hasta el momento observar, DNS como cualquier otro protocolo es un mundo aparte, razón por lacual dejar esta puerta abierta de forma consciente como se plantea, y digo consciente porque cualquier profesional a la altura de configurar e integrareste servicio, tiene el conocimiento necesario para por lo menos de forma regular saber las características que pudieran aprovechar de este protocolo y no se aplican.
Estamos frente a una situación global donde ya vimos como la misma ICANN se alerta de los posibles ataques a lainfraestructura de internet, dijo David Conrad Chief Technology Officer de la citada institución los siguiente, Cito: Necesitamos mejorar la seguridad en general del DNS si queremos tener alguna esperanza de prevenir estos ataques.
Nótese la preocupación que tiene esta institución ante lo que se podría considerar un inminente desastre en la infraestructura de internet en pocotiempo, lo que indica que debemos trabajar de forma ininterrumpida todos los actores para ver si podemos tener algún tipo de esperanza previniendo estosataque.
Podemos culminar diciendo que el DNS es una puerta olvidada, cuya acción ha causado muchos estragos en la administración de sistemas y que solo nos acordamos generalmente de esa puerta, cuando tenemos la situación ya sobre nosotros, como es el caso de grandes entidades de gobiernos y de reguladores.
La buena noticia sobre esteparticular es el nivel de conciencia que se está creando junto a las campanas que hoy día se vienen realizando, tal es el caso de DNS Flag Day y otras ya conocidas, además de las diferentes propuestas y soluciones ante las llamadas vulnerabilidades sobre el mismo.
Ing. Gilberto Perez