Tuesday, August 07, 2007

DNS Rebinding

DNS Rebinding es un nuevo tipo de ataques informáticos a través de la red.

Despues de esa frase, alguno se puede estar preguntando que hago yo hablando de seguridad en la red, cuando obviamente no tengo ni idea, y es mucho mejor leerlo de manos de la noticia de Slashdot, el paper original o alguno otro lugar especializado, pues bien, en ninguno de esos sitios encontrareis el "como se hizo" de ese ataque, ya que este ha sido diseñado por mi compañero de piso Adam Barth.

Adam se ha esforzado mucho en explicarme como se hace el ataque, y porque decició llamarlo DNS rebinding (termino que no existía anteriormente, y que ahora cuenta con más de 50 mil entradas en Google). Desgraciadamente, no he entendido absolutamente nada, salvo que el ataque no se basa en ningun fallo de implementación, sino en que el sistema de DNS en si mismo fue diseñado de forma insegura.

Lo que sí que he entendido (o eso creo), es lo que puede conseguir el atacante. Tu navegas tranquilamente, y entras en un sitio web que parece perfectamente normal, con su banner de publicidad a un lado. En menos de un segundo, y sin que tu notes nada el atacante acaba de tomar control de tus conexiones de red hasta que cierres el navegador. Tu puedes seguir navegando tranquilamente sin notar nada, pero el puede estar haciendo conexiones a otros ordenadores sin que te enteres.

¿Para que le sirve hacer conexiones a otros ordenadores? Pues principalmente para dos cosas:
- Si estas detras de un firewall puede hacer conexiones dentro de tu red.
- Puede utilizar tu ordenador para mandar spam sin que pueda ser baneado.
- También puede utilizar tu ordenador para hacer click en su publicidad, y así hacer dinero.

Esta última utilidad resulta muy interesante, ya que para que el atacante gane control de tu ordenador no hace falta que vayas a su sitio web, basta con que el atacante tenga una publicidad con un codigo maligno en el banner de la página que visitas (y en apariencia el banner es perfectamente normal). Hay empresas que cobran 1$ por cada mil impresiones de un banner, de manera que al atacante solo le cuesta 0.001$ hacerse con el control del ordenador. Pero no puedes utilizar todos para clickar en Google, ya que a Google le resulta sospechoso y te banearía (dimelo a mi que aun no me han perdonado aunque les volví a escribir dos años despues para que me perdonaran). Hacen falta entre 50 y 100 visitas sin click de IPs diferentes para que un click resulte creible. De manera que cuesta entre 5 y 10 centimos de dolar un click, así que si tienes páginas donde salgan anuncios de juegos, o otras palabras clave bien pagadas tienes una máquina de hacer dinero (Otro ejemplo, para anunciar dispositivos médicos para ancianos los anunciantes pagan 3.5$ el click).

El diseño del ataque se le ocurrió a Adam a principios de la primavera pasada. Adam es doctorando en seguridad de ordenadores en Stanford, y buena parte del dia se la pasa visitando a otros doctorandos para saber que problemas afrontan y pensar los problemas de seguridad que surgen. De una de esas charlas surgió el ataque de DNS rebinding. Para probar si, efectivamente, funcionaba, decidieron que nada mejor que una prueba de campo en internet, así que se fueron a una empresa de anuncios, y se gastaron $100 en publicidad para poner un banner con un codigo maligno oculto.
En menos de una semana habían logrado tener el control de decenas de miles de ordenadores. Y cuando lo tenían les hacían conectarse a su servidor de Stanford para llevar la cuenta de cuantos habian caido y cuanto había costado que cayera. Tuvieron tantas conexiones que el personal de seguridad informática de Stanford les escribió un mail alertándoles que habían detectado un tráfico anómalo... y tan anómalo! se debían estar preguntando que narices hacían decenas de miles de IPs distintas conectandose al ordenador de un doctorando.

El problema sigue sin estar solucionado en la mayoría de navegadores (firefox incluido) de manera que ahora es la época más peligrosa ya que es público y las empresas aun no lo han arreglado.

En Octubre lo presentaran en una conferencia, aunque el paper esta distribuyendose a tal velocidad, que ya casi todo el mundo sabrá de él para entonces.

Actualización: Menéa este post

3 comments:

anónimo Sánchez said...

Por si es de tu interés: http://www.juicioaaznar.net/

lanobil, said...

Mi madre se sigue emocionando cuando lo ve por algún motivo en la tele, en su momento sentí hasta celos de como se le iluminaba la mirada al verlo. Lo adoptó sentimentalmente. Si llegan a saber todas las imprudencias y gilipolleces que iba a perpetrar Aznar, se hubiesen ahorrado tanto esfuerzo mediático. Un saludo y espero que puedas visitarme.

Alfatriple said...

Hablando de Adsense, a mi tambien me inhabilitaron la cuenta, me la dejaron tiesa hace dos o tres meses, pero no presenté recurso. ¿Realmente hay alguna posibilidad de que readmitan a alguien? Yo no lo creo, y tampoco ganaba una mierda con Adsense, pero jode.