ESTUDIO. Guía del ciberdelincuente para divertirse y obtener beneficios atacando los DNS

Transcripción

1 ESTUDIO Guía del ciberdelincuente para divertirse y obtener beneficios

2 Sin DNS, Internet deja de funcionar como es debido Y eso es una buena noticia para personas como usted. La mayoría de las personas con conexiones en línea se contentan con utilizar Internet para aplicaciones «tradicionales»: enviar correos electrónicos, ver vídeos, comprar libros y ropa o estar en contacto con los amigos y la familia. Sin embargo, para usted (que forma parte de un grupo de élite de ciberdelincuentes, hackers de sombrero negro y otros superusuarios de Internet), la red tiene mucho, muchísimo más que ofrecer. Para usted, Internet no es más que que una gran cantidad de vulnerabilidades que están esperando a que las exploten. Por eso los ciberdelincuentes de red emprendedores tienen que comprender el sistema de nombres de dominio, o DNS. El DNS representa la tecnología más avanzada en lo que podría describirse de forma educada como «iniciativas empresariales basadas en las vulnerabilidades de la red». Es en lo que invierten su tiempo los mejores y más brillantes, por no decir los mejores y peor intencionados. Mientras que otras formas de explotación de las vulnerabilidades se están utilizando menos debido a una mayor «conciencia» de los proveedores de software de seguridad, entre otros, los ataques basados en DNS van en aumento. Según un estudio, de 2012 a 2013 aumentaron un 200 %, más rápido que el resto de categorías. Actualmente, el DNS es el segundo vector más común de los ataques a través de Internet, superado sólo por el venerable HTTP. Quién debe aprender cómo funciona el sistema DNS? Cualquiera que esté interesado en lanzar un ataque de denegación de servicio, o que quiera redirigir el trafico web del servidor legítimo a uno que esté bajo su control. Esto lo incluye a usted, si: Es una persona de negocios pragmática que busca resultados para obtener rápidamente una ventaja competitiva en el mercado reduciendo la velocidad de los sitios web de la competencia o incluso haciendo que dejen de funcionar completamente. Es miembro de un grupo como Anonymous y está ansioso por combatir una injusticia de la que se acaba de enterar por un canal IRC desactivando los sitios web de las empresas o instituciones que se mencionaban en la publicación. Le han despedido y se muere de ganas de demostrarle a su antiguo jefe su equivocación «provocando algunos problemas» en su sitio web. Busca complementar sus ingresos aprovechando las crecientes oportunidades de cobrar a las empresas miles de dólares por volver a restablecer sus sitios web. A continuación, se ofrece un amplio resumen de las maneras en las que puede utilizar los DNS para su beneficio. Por motivos de brevedad, se omiten muchos detalles técnicos. No obstante, si algo no le queda claro, o necesita instrucciones precisas y detalladas para la ejecución de ataques de DNS específicos, no se preocupe. Existe un gran número de guías en línea más detalladas, además de útiles salas de chat y otros sitios comunitarios que encontrará fácilmente con cualquier motor de búsqueda. Nota de Infoblox: Aunque esperamos que no sea necesario decirlo, este documento busca ofrecer una visión humorística de una realidad preocupante que afecta a todas las empresas que operan en línea: el creciente uso de los ataques de DNS por parte de los ciberdelincuentes. Sobra decir que Infoblox no defiende ni fomenta la ciberdelincuencia; al contrario, nuestra empresa colabora con las empresas para ayudarlas a defenderse de las amenazas basadas en DNS. Este estudio no contiene información sobre ataques de DNS que no se haya tratado extensamente tanto en la prensa convencional como en la comercial y, aunque creemos que toda la información técnica es precisa, no es suficiente para que un delincuente real pueda perpetrar ninguno de los ataques de DNS que describimos. 1 ESTUDIO Guía del ciberdelincuente para divertirse y obtener beneficios

3 DNS es el «servicio de información» de Internet Cómo puede ayudarle directamente? Se acuerda del «servicio de información» del sistema telefónico, cuando todavía lo controlaba de forma centralizada la compañía telefónica? Piense en todo el caos que podría haber provocado si se hubiera apoderado de él. Por ejemplo, podría haber dado un número de teléfono falso (uno que sonara en su escritorio) a todos los que quisieran un número de la competencia. O podría haberles dicho a los operadores del servicio de información telefónica que dieran el mismo número a todos los usuarios, independientemente del número que solicitaran. Ese teléfono recibiría tantas llamadas de «número equivocado», que acabaría estando fuera de servicio. Y eso es, esencialmente, lo que puede hacer con el sistema de nombres de dominio. La función del DNS es facilitar el protocolo de Internet (IP) numérico de un servidor a quienes sólo saben el nombre de dominio del servidor; es el equivalente en Internet a buscar un número de teléfono. No obstante, Internet es demasiado grande para que un único servidor DNS cubra las necesidades de todos los usuarios. En lugar de eso, las funciones DNS las desempeña una jerarquía de cientos de miles de ordenadores especiales en todo el mundo. Esos equipos funcionan de forma descentralizada y colaborativa, como es habitual en Internet. Si un servidor DNS no conoce la respuesta a una consulta, en otras palabras, si no conoce la dirección IP asociada a una dirección web concreta, le pregunta a otro servidor DNS utilizando los protocolos establecidos. Existen muchos tipos distintos de servidores DNS: unos responden a las consultas de casi cualquier persona; otros, sólo a un número reducido de equipos. Algunos de estos servidores son dispositivos de alta gama controlados por proveedores de servicios de Internet (ISP). Sin embargo, existen muchos otros miles controlados por empresas para sus operaciones en Internet. Y, como ocurre con todo en la red, algunos de estos servidores tienen un mantenimiento menos minucioso que otros, lo que permite que usted y sus amigos puedan atacarlos con más facilidad. Unos de los aspectos más fascinantes del DNS es que no tiene que preocuparse de los detalles de seguridad del sitio web que ha escogido como objetivo. En algunos ataques de DNS, puede tratar con otros servidores con los que su objetivo no tiene ninguna conexión, y que es probable que ni siquiera conozca. Su banco local podría tener el sitio web mejor protegido de Internet. No obstante, si consigue que otro servidor DNS le dirija a usted el tráfico «legítimo» del banco, todas las medidas de seguridad del banco no servirán para nada. Es más, como el ataque tendrá lugar en otro punto de Internet, en servidores que el banco no controla, la tarea de realizar un seguimiento de su ataque y detenerlo resultará muy ardua y requerirá mucho tiempo. En muchos casos, podrá aprovecharse de los usuarios que intenten acceder a los servidores objetivo durante días, incluso semanas. 2

4 Vayamos a los hechos Algunos ataques de DNS reales, sacados de los titulares. Llegados a este punto, puede que se esté diciendo: «todo esto suena muy bien en la teoría. Pero de verdad funciona?». La respuesta es un sonoro sí. Vea, si no, estas recientes aventuras relacionadas con los DNS que emprendieron personas no muy distintas de usted. Google se dio cuenta de que una de sus páginas de inicio en Oriente Medio había cambiado, no porque uno de sus servidores estuviera en peligro, sino debido a una inteligente manipulación del DNS. Los visitantes de la página, diseñada para los usuarios de Google de los Territorios palestinos, recibían mensajes irreverentes como «Escucha a Rihanna y sé guay». En los últimos meses, tanto el New York Times como el Washington Post dejaron de funcionar debido a ataques de DNS. El caso del New York Times demuestra lo fácil que puede ser. El periódico utilizaba un servidor DNS comercial de Australia llamado Melbourne IT. Esa empresa, a su vez, tiene cientos de resellers. Alguien consiguió acceder al nombre de usuario y la contraseña de uno de esos resellers, inició sesión en el sistema de Melbourne IT y, a continuación, modificó la información de DNS del Times. En el caso de ambos periódicos, un grupo denominado el «Ejército Electrónico Sirio» reivindicó la autoría. Sin embargo, nadie sabe si ese «ejército» existe de verdad, o si se trata de un usuario individual como usted. Spamhaus es una organización internacional responsable de llevar una lista de servidores de correo que se sabe que está asociada con ataques de correo no deseado. Prácticamente todas las formas de tecnología contra el correo no deseado emplean la base de datos de Spamhaus, muchas veces cada hora. Spamhaus estuvo sin conexión durante varios días debido a un ataque de denegación de servicio basado en DNS que había utilizado una técnica de «amplificación de DNS». Debido al ataque, los servidores de Spamhaus se vieron forzados de repente a hacer frente nada menos que a 300 gigabits por segundo de datos, bastante más de lo que ellos, y cualquier otro conjunto de servidores, estaban diseñados para gestionar. Tal vez parezca que crear un volumen tan enorme de datos es difícil, y que se necesitaría un botnet con miles de ordenadores. No obstante, gracias al diseño básico del sistema DNS, puede resultar extremadamente fácil, como veremos a continuación. Las mismas técnicas que se utilizaron contra Spamhaus también se están utilizando contra bancos e instituciones financieras. Muchos de los principales bancos de Estados Unidos se han encontrado con que sus sitios web no estaban disponibles porque sus servidores DNS estaban congestionados de datos; en algunos casos, los ataques se hicieron coincidir en el tiempo con intentos de transferir dinero desde los bancos, como ocurrió con el Bank of the West de San Francisco en 2013, donde el importe ascendió a 1 millón de dólares. Normalmente a estas instituciones no les gusta hablar de estos asuntos, pero sabemos que el problema es grave. Estados Unidos Recientemente el Departamento de Justicia concedió una exención antimonopolista especial a todas las principales instituciones financieras de EE. UU. para que pudieran compartir información técnica con el fin de ayudar al FBI a detener los ataques de DNS. 3 ESTUDIO Guía del ciberdelincuente para divertirse y obtener beneficios

5 En las entrañas de la bestia Ataques de DNS selectos, cercanos y personales. Existen decenas de ataques de DNS donde elegir, no dejan de aparecer otros nuevos, y los tradicionales se mejoran para que conserven o aumenten su eficacia. La lista es demasiado larga para que se pueda cubrir con detalle en un solo lugar, pero aquí le presentamos un resumen de los más comunes. Recuerde que todos cumplen uno de estos dos criterios: o redireccionan tráfico de Internet «legítimo» a servidores que controla el hacker o congestionan los servidores con tanto tráfico que los sitios web de sus objetivos acaban quedando sin conexión. Lo que haga a continuación no tiene más límites que los de su imaginación de emprendedor. Envenenamiento de la caché El envenenamiento de caché es el equivalente funcional de hacer que el operador del servicio de información facilite los números de teléfono que usted ha seleccionado, en lugar de los correctos. Es uno de los ataques de DNS más extendidos, y la técnica hace justicia a su espantoso nombre. Y, como ocurre con otros ataques de DNS, no dejan de inventarse nuevos métodos de envenenamiento de caché. Recuerde que la función de los servidores DNS es emparejar un nombre de sitio web con la dirección IP de un servidor específico. En el envenenamiento de caché, lo único que tiene que hacer es sustituir la dirección IP real de un sitio web por una dirección IP de su elección (se entiende que debe ser la de un servidor que usted controle). Puede diseñar la página «falsa» para que sea cómo usted desee. Puede transmitir un mensaje que considere importante, o con un poquito más de trabajo, puede tener exactamente la misma apariencia que la página de inicio de un banco, por ejemplo (hasta el punto de solicitar un nombre de usuario y contraseña, que, claro está, usted recabará en seguida). El envenenamiento de caché es un buen ejemplo de cómo los ataques de DNS han evolucionado con el tiempo para escapar a los sistemas de detección que las empresas van implantando poco a poco, con lo que los ataques se vuelven aún más eficaces. Estos ataques se aprovechan del hecho de que todos los emparejamientos de DNS-IP son temporales; el emparejamiento de una dirección de servidor IP determinada con un dominio específico puede durar sólo unos minutos, al cabo de los cuales se realiza un nuevo emparejamiento. (Es lo que se conoce como el «tiempo de vida» o TTL de un nombre de dominio; los sitios web se sirven de los TTL para equilibrar su tráfico a lo largo del día, trasladando las visitas de un banco de servidores a otro según las variaciones del flujo de la demanda). Eso quiere decir que todos los servidores DNS solicitan información de forma periódica a otros servidores DNS, incluso en los sitios más comunes. Los protocolos DNS permiten que un servidor atacante que pretende envenenar la caché de otro servidor pregunte cuánto tiempo le queda a un emparejamiento concreto de nombre de dominio-ip. A continuación, en el segundo indicado, el servidor atacante envía actualizaciones al servidor que contienen la nueva dirección IP falsa. Para que la transacción salga bien, hay que tener un poco de suerte. Por ejemplo, las solicitudes de DNS legítimas generan un «ID de mensaje» de 16 bits cuando envían una consulta. Cuando el servidor responde, necesita incluir el mismo número. Al principio, esto planteaba problemas a quienes intentaban realizar ataques de envenenamientos de caché, hasta que se descubrió que el generador de números aleatorios que creaba los ID de mensaje tenía un error que hacía que los números fueran mucho más fáciles de predecir. 4

6 Los envenenamientos de caché eficaces cumplen dos criterios. Modifican el emparejamiento de dominio-ip del equipo para que se redirija a los usuarios a un sitio web controlado por la persona que ha lanzado el ataque. Además, restablecen el tiempo de vida del nombre de dominio, cambiándolo a veces de unos pocos minutos a muchos años, para que la información falsa se mantenga intacta todo el tiempo posible. Es importante observar que el «envenenamiento de caché» no consiste en un ataque único, sino en un conjunto de maniobras que ha cambiado con el tiempo y para el que no dejan de desarrollarse técnicas nuevas. Varían mucho en cuanto a lo fácil que resulta tanto planearlas como defenderse de ellas. Uno de los métodos más nuevos, denominado «vulnerabilidad de Kaminsky», plantea una tremenda dificultad a la hora de defenderse de él y, aunque se descubrió en 2008, existen servidores DNS que siguen desprotegidos frente a esta amenaza. Amplificación y reflexión de DNS Como ocurre con todas las cosas de la vida, los ataques de denegación de servicio se pueden realizar de la forma difícil o de la fácil. La forma difícil podría ser reunir trabajosamente un enorme botnet de ordenadores «infectados» y hacer que cada equipo envíe algún tipo de tráfico al sitio web objetivo. La forma fácil es dejar que el DNS haga el trabajo. Es lo que pasa con la amplificación y reflexión de DNS. En una solicitud de DNS «normal», los usuarios proporcionan dos cosas al servidor DNS: el nombre del servidor web para el que necesitan una dirección y la dirección IP a la que se va a enviar la información (que normalmente, como es lógico, sería la dirección IP del usuario). Sin embargo, en los ataques de amplificación de DNS, se realizan cambios en los dos elementos. Son cambios pequeños, pero los resultados pueden ser desastrosos. Los protocolos DNS permiten realizar muchos tipos distintos de consultas de un servidor DNS. Las consultas más habituales, con diferencia, son las consultas «A», cuando se desea averiguar la dirección IP asociada a un nombre web. Normalmente son unos pocos bytes de información. Sin embargo, existe otra consulta, «ANY», que indica al servidor DNS que facilite toda la información de que disponga sobre un nombre de dominio (por ejemplo, sus claves criptográficas y firmas de seguridad). Aunque las consultas ANY en sí son pequeñas, normalmente de menos de 50 bytes, las cargas útiles de datos que desencadenan pueden ser relativamente enormes, de más de 4000 bytes. El uso (o mejor dicho, «abuso») de las consultas ANY es fundamental para los ataques de amplificación de DNS. Sólo hay que crear una consulta ANY que solicite que la respuesta se envíe, no al equipo que realizó la solicitud original, sino al servidor web en el que usted desea denegar el servicio. Esto, por suerte, es tan fácil como enviar un sobre con una dirección de remitente falsa; el protocolo DNS no hace nada para verificar esta «dirección de remitente» antes de responder. De esa forma, se engaña al servidor DNS para que envíe mucha más información por solicitud de la que envía habitualmente, y para que envíe todos los datos a otro sitio web. Con unos cuantos cálculos se puede demostrar lo devastadora que puede resultar la combinación. Un ordenador con una conexión de salida de 2 megabits por segundo (Mbps) (la que tienen actualmente la mayoría de clientes de cable de banda ancha doméstico) puede enviar cerca de 6000 consultas de DNS por segundo, con lo que se genera un tsunami de 200 Mbps en el ordenador objetivo. Con sólo cinco equipos así, se consigue un gigabyte de datos. Imagine lo que podría hacer un botnet entero. Esa es una de las razones por las que se han vuelto habituales los ataques distribuidos de denegación de servicio (DDoS) que se miden en cientos de gigabits por segundo. Gracias, DNS! 5 ESTUDIO Guía del ciberdelincuente para divertirse y obtener beneficios

7 Y mucho más Recuerde que estas son sólo unas pocas de las vulnerabilidades más conocidas del DNS. Existen muchas más, con nombres como «tunelización», «secuestro» y «congestión». Y no dejan de descubrirse ataques nuevos. Sus mecanismos internos pueden variar, pero todos persiguen el mismo objetivo: coger un elemento de Internet crucial, pero frágil, y darle un mal uso. Existe otro factor que tiene a su favor como ciberdelincuente incipiente: la inercia de TI. Algunos de los objetivos principales de los ataques de DNS son servidores no revisados. Esto se debe a que, como ocurre con todo lo que tiene que ver con los ordenadores, los servidores DNS requieren un considerable volumen de software (existe un programa de servidor de nombres muy popular que contiene unas líneas de código). Aunque es relativamente compacto en comparación con los millones de líneas de código del sistema operativo de un PC, sigue siendo lo suficientemente complejo para que resulte inevitable que aparezcan errores y fallos, sobre todo si se tiene en cuenta que el sistema DNS se ha diseñado de forma paulatina a lo largo de varias décadas. Por poner sólo un ejemplo, un investigador descubrió hace poco que un servidor DNS estándar no estaba realizando correctamente una función de aleatoriedad necesaria para proteger la integridad de una solicitud DNS. Ese fallo simplificaba enormemente la tarea de llenar el servidor de datos malos, y se le dio mucha publicidad en la comunidad de TI. No obstante, los estudios demostraron que, mucho tiempo después de descubrirse el error, la cuarta parte de los equipos de DNS no se habían revisado. Eso le dio a los ciberdelincuentes como usted mucho tiempo para iniciar ataques. Y aunque esa ventana de vulnerabilidad acabará cerrándose, tenga paciencia. No tardará en abrirse otra. Nota final Ya debería ser evidente a estas alturas que los ataques de DNS se pueden realizar con relativa facilidad, y que tienen potencial para dotarle de superpoderes con los que interrumpir el funcionamiento de los sitios web que ha escogido como objetivos. Los ataques de DNS son un campo en rápida evolución, y los enfoques que están más extendidos hoy día pueden resultar ineficaces en el futuro. Sin embargo, eso no es excusa para que no se ponga manos a la obra. Siempre es posible que los productos de «seguridad» eficaces reduzcan drásticamente los ataques de DNS, o incluso los eliminen. No obstante, hasta que eso ocurra, tiene que tener presente que vivimos en una especie de Edad Dorada de los ataques de DNS. No es hora de que empiece a vivir su sueño? 6 ESTUDIO Guía del ciberdelincuente para divertirse y obtener beneficios

8 OFICINA CENTRAL CORPORATIVA DE EE. UU.: (gratis desde EE. UU. y Canadá) info@infoblox.com OFICINA CENTRAL DE EMEA: info-emea@infoblox.com ESPAÑA/PORTUGAL sales-apac@infoblox.com MÉXICO/ LATINOAMÉRICA Sales-latinamerica@infoblox.com Infoblox Inc. Todos los derechos reservados. infoblox-whitepaper-cybercriminal-guide-exploiting-dns-jan2014