Desde el 8 de julio se está produciendo uno de los episodios más curiosos vividos nunca en la red. Se publicó ese día una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se dijo que había sido descubierta una vulnerabilidad que permitía falsificar las respuestas DNS, y por tanto redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizaron sus sistemas y se intentó mantener los detalles técnicos de la vulnerabilidad ocultos, por la gravedad y el potencial impacto que podría suponer. Finalmente, dos semanas después, se conocen los detalles.
Toda vulnerabilidad es importante y tiene un potencial impacto en la red. Sin embargo, cuando hablamos de la resolución de nombres y de problemas en los servidores DNS, la gravedad se multiplica porque se supone que los servidores DNS sustentan la red. Dan Kaminsky había descubierto un fallo de base en el protocolo que permitía a cualquiera falsificar las respuestas de un servidor. No era problema de ningún fabricante sino de casi todos, un fallo de diseño de un estándar usado en todo Internet. En un importante esfuerzo de coordinación todos los grandes fabricantes están publicado sus actualizaciones desde el día 8 de julio.
Pero Dan Kaminsky no daba detalles sobre el asunto. Era demasiado grave y pensaba que sería irresponsable proporcionar esa información sin dar suficiente tiempo a todos los administradores para actualizar. Del parche no se podía deducir el problema puesto que simplemente añadía aleatoriedad y entropía a ciertos valores que desde hace mucho se sabía que no eran la mejor solución para asegurar el protocolo. Es por esto que se apostaba desde un principio por que la vulnerabilidad de Kaminsky se tratara en realidad de una nueva forma más eficaz de engañar a los servidores DNS para que den respuestas falsas, gracias a un fallo inherente del protocolo (y así ha sido).
Kaminsky daría los detalles un mes después, en la conferencia Black Hat de agosto. Por una parte, el descubridor estaba siendo responsable (dando tiempo a los administradores) pero tremendamente mediático por otra (creando una expectación exagerada en torno a la conferencia). Todo esto, ayudado por la desinformación de los medios generalistas ha ayudado a que la desconfianza siguiese creciendo. Todos defendían su teoría: desde el escéptico hasta el que hablaba de la debacle de la Red. Sólo un grupo de personas concretas conocía los detalles técnicos, y tenían instrucciones de no revelarlos y de evitar las especulaciones públicas. Kaminsky pretendía así ingenuamente asegurarse que sólo él daría los detalles cuando lo tenía planeado, cumpliendo así la segunda parte de su plan una vez publicadas las actualizaciones. Imposible… poco después las listas estaban llenas de comentarios y elucubraciones.
Afortunadamente en la seguridad informática siempre hay alguien que va más allá. Thomas Dullien, el CEO de la compañía Zynamics (también conocido como Halvar Flake) se aventuró a publicar en su blog su particular visión de lo que podía ser el problema descubierto por Kaminsky, sin tener conocimiento previo de los detalles. Y no se equivocó en su teoría. La insinuación de que estaba en lo cierto vino desde varios frentes (entre ellos desde un post en Twitter del propio Kaminsky), pero lo confirmó totalmente una entrada del lunes pasado en el blog de Thomas Ptacek, director la compañía Matasano que era de los que conocía los detalles reales. La entrada estaba firmada por un/a tal «ecopeland» del equipo de Ptacek. Según linkedin.com existe un/a Erin Ptacek (Copeland), desarrollador/a de software en Matasano (¿familiar del director?). En el post se daba la razón a Dullien, junto con todo lujo de detalles sobre el fallo que Dullien había ‘redescubierto’. La explicación fue retirada poco después (actualmente está disponible a través de la caché de Google). Ptacek se ha disculpado públicamente, probablemente se dejó llevar por su ánimo de compartir la información. Demasiado tarde… ya circula libremente por Internet.
Los detalles técnicos pueden ser encontrados en el apartado de más información. No tardarán en aparecer exploits. Ahora la gravedad del problema se multiplica. Afortunadamente casi todos los fabricantes han publicado ya un parche.
Aunque se conocía el problema desde enero, Kaminsky trabajó intensamente con los grandes fabricantes para mantenerlo en secreto y coordinar la aparición de parches un día concreto (que tuvo que coincidir con el día de actualización de Microsoft). Esto resulta extremadamente complicado, y hay que reconocer que ha debido resultar un trabajo complejo el coordinar y mantener la discreción sobre un tema tan delicado. Un esfuerzo elogiable. Sin embargo desde que se anunció la existencia del problema, sólo se han necesitado dos semanas para que sea desvelado, frustrando el plan de Kaminsky de aguantar un mes hasta la Black Hat para revelar los detalles.
Son muchas las moralejas y conclusiones que se pueden extraer de este incidente. De nuevo el debate sobre la revelación responsable de vulnerabilidades, la fuerza del ego de muchos investigadores, la demostración de que un esfuerzo coordinado para una actualización masiva ante un problema común es posible… pero sobre todo llama la atención la capacidad de Thomas Dullien de redescubrir un problema que siempre habría estado ahí, pero que no se había planteado buscar hasta que alguien apuntó que existía. Dullien contaba con las bases (el protocolo DNS sufre de problemas inherentes conocidos) sólo había que mover las piezas para encontrar lo que podía ser el fallo que otro decía ya saber. Y acertó. Una de las mejores formas de captar el interés de un asunto, (aunque siempre haya estado ante nuestras narices y creamos conocerlo) es afirmar que oculta un secreto.
ssantos@hispasec.com
Más información:
Kerfuffle erupts as DNS flaw described
http://www.securityfocus.com/brief/779
Reliable DNS Forgery in 2008
http://amd.co.at/dns.htm
On Dan’s request for «no speculation please»
http://addxorrol.blogspot.com/2008/07/on-dans-request-for-no-speculation.html
Regarding The Post On Chargen Earlier Today
http://www.matasano.com/log/1105/regarding-the-post-on-chargen-earlier-today/
Deja una respuesta