Posibles Vulnerabilidades del DNS: el enfoque de Logicalis (Parte I)

Ron Temske, Vice President, Security Solutions, Logicalis USA

El punto de partida para la conectividad de las empresas con el exterior son los DNS. ¿Por qué no comenzar por ahí nuestro plan de ciberseguridad? El propósito del DNS es asociar los nombres -que los humanos podemos recordar- con las direcciones IP utilizadas en los ordenadores y otros dispositivos conectados. Comparar el DNS con un listín telefónico (ejemplo válido para aquellas personas que vivieron en una época menos digital…), o la libreta de direcciones del e-mail, sería una buena analogía.

Es difícil recordar los números de teléfono de toda la familia, amigos, compañeros de trabajo, proveedores y clientes, pero sí es posible y de hecho normal recordar sus nombres. Por tanto, a ninguno de nosotros se le pasaría por la cabeza escribir http://54.239.25.208/ en nuestros navegadores, en cambio no tendríamos ningún problema en recordar y escribir www.amazon.com cuando queremos ir de compras.

El DNS está involucrado cada vez que se accede a un dominio web desde un dispositivo. Esto no es específico solo para la navegación web, sino que incluye cualquier llamada de recursos a un dominio desde cualquier dispositivo conectado. Y por esta razón, DNS es a la vez un activo y una responsabilidad. Hablamos, por tanto, de seguridad DNS.

Posibles Vulnerabilidades del DNS

Como si se tratara de la guía telefónica central de Internet, el DNS puede verse involucrado en los ataques de varias maneras. Me permito alguna licencia y omitiré una serie de detalles sobre los servidores DNS  “autoritativos” vs “recursivos” vs “de caché” y el rol del fichero localhost. Estas son algunas formas en que el DNS puede convertirse en una vulnerabilidad para su empresa:

• Las cachés DNS pueden estar "envenenadas". La caché DNS puede estar dañada y dirigir mal las consultas a sitios incorrectos. En este caso, un usuario escribe www.example.com en su navegador, pero dado que el caché DNS estaba dañado, en su lugar se lo envía a www.reallybadsite.com.
• El DNS se puede utilizar para realizar ataques de “usurpación” de dominio como pueden ser “typo cons” y “domain squatting”. Estos ataques usan nombres de dominio que parecen similares a un nombre de dominio válido, esperando que los usuarios no lo noten. Por ejemplo www.1inkedin.com. También es común usar un nombre de dominio legítimo, pero añadiendo un carácter o palabra adicional.
• El DNS se puede usar en ataques de phishing. Cualquier intento de atraer a un usuario a un sitio malicioso puede combinar los métodos de “usurpación” descritos para hacer que el usuario crea que va a un sitio legítimo. También es común enmascarar un dominio malicioso o una dirección IP detrás de una dirección de dominio fiable. Esto es fácil de detectar: pase el ratón sobre cualquier dirección de dominio del sitio web antes de hacer clic en ella y vera a dónde le dirige el hipervínculo. El enlace y el texto deberían ser iguales, o al menos deberían llevarlo al dominio que esperaba.
• El DNS se puede aprovechar para ataques de malware Command and Control (C2). El DNS se usa en muchas formas de malware, ya que la mayoría tiene algún tipo de función de llamadas de control para avisar que el malware está activado.
• El DNS no discrimina. Los usuarios no siempre saben que un sitio es malicioso. Un usuario puede visitar intencionadamente un sitio de contenido sólo para adultos, una oferta "gratuita" u otro vínculo atractivo, lo que a menudo va unido a un ataque de phishing. Esto puede lograrse configurando un sitio malicioso con un nombre que sirva de gancho (por ejemplo, www.reallyhelpfulsitehere.com).

Este tipo de ataques se centran en los usuarios finales, pero también hay ataques dirigidos contra la infraestructura DNS que pueden dar como resultado un ataque de Denegación de Servicio Distribuida (DDoS), entre otros. Esto tiene consecuencias potencialmente devastadoras: si los servicios DNS están rotos o no están disponibles, desactivará de manera efectiva toda la red para los usuarios afectados.

En la segunda parte de mi artículo analizaremos una posible solución a estos desafíos: un DNS seguro que actúa como un paraguas para proteger los lugares, espacios y dispositivos de las amenazas a través de los servicios de DNS.