sábado, 21 de noviembre de 2015

¿ En que consisten los ataques DNS Spoofing ?

Muchos de los ataques que afectan diariamente a los usuarios de internet, se llevan a cabo en combinación con otra serie de técnicas para reforzar la efectividad del mismo. Una de estas técnicas se denomina DNS Spoofing, este método consiste en alterar las direcciones de los servidores DNS que esté utilizando la víctima del ataque, de esta manera podemos obtener el control sobre las consultas que se realizan.

Los servidores DNS otorgan un nombre a cada dirección IP, de esta manera no es necesario para las personas recordar las direcciones IP de cada sitio. Muchos atacantes se benefician de este nodo, se aprovechan de esta dependencia que existe con los servidores de nombres de dominio, dentro de la ruta de comunicación, cuando se consulta un sitio web.

Este ataque (DNS Spoofing) consiste simplemente en cambiar las direcciones IP de los servidores DNS de la víctima, para que en vez de que apunten al servidor legítimo, apunten en dirección de un servidor malicioso. En la siguiente imagen se puede observar el ciclo cuando se realiza una consulta a un servidor DNS:



Por otra parte en caso de que exista DNS spoofing, el ciclo es el siguiente:



¿ Como podemos realizar este ataque ?

Exiten varias formas de modificar las direcciones IP de los servidores DNS. La mayoría de usuarios, utiliza un router en su casa para poder conectar diferentes dispositivos a internet, sin embargo, existe la posibilidad de que estos dispositivos estén configurados de manera incorrecta. Uno de los aspectos más comunes es tener habilitada la opción de gestionar el router remotamente, es decir, exponer el router a través de una IP pública. En la siguiente imagen puede visualizarse un ejemplo de un panel de administración de un router:



Esta configuración en conjunto con el hecho de que la mayoría de veces se dejan las contraseñas por defecto del propio dispositivo, le permiten a un atacante, ingresar a la configuración del mismo. De esta manera tenemos la posibilidad alterar las direcciones DNS que utiliza ese router para realizar las consultas de resolución de nombres. Un ciberdelincuente podría establecer un servidor DNS malicioso y redireccionar las consultas que realiza la víctima a este servidor.


¿Qué tipos de ataque se pueden realizar con DNS Spoofing?

En base a esta técnica se pueden realizar diferentes tipos de ataques. Uno de los que posiblemente tenga más impacto, es el de montar sitios falsos que sean una réplica de aquellos que el ciberdelincuente desee obtener información relevante por parte de una potencial víctima. De esta forma cuando el usuario acceda al sitio legítimo, este será redireccionado a la réplica del sitio original que ha sido creada previamente por el ciberdelincuente.

Otra posibilidad podría ser la de comprometer a la supuesta víctima con la ayuda de la explotación de alguna vulnerabilidad. En este caso el atacante colocaría en el servidor malicioso algún tipo de exploit para que cuando el usuario "víctima" acceda al supuesto sitio legítimo, este sea vulnerado. Uno de los exploit que más se suele utilizar es, por ejemplo, el applet en Java (CVE-2011-3544). Esta vulnerabilidad permite la ejecución de código, comprometiendo en muchos casos el sistema.


¿ Cómo podemos protegernos?

Hay que dejar claro que existen otro tipo de ataques en los que se involucran servidores DNS, sin embargo en este caso podemos seguir algunas recomendaciones para intentar prevenir los ataques DNS Spoofing. Las recomendaciones son las mismas que venimos repitiendo ya desde hace tiempo para proteger nuestros equipos.

En primer lugar es muy importante deshabilitar la opción de gestión remota de los routers. En caso de que sea requiera la mencionada funcionalidad, asegurarse de establecer una contraseña segura. Es muy importante mantener el sistema operativo y todo el software del mismo actualizado en todo momento. Tanto las actualizaciones del propio sistema operativo como el de las aplicaciones nos permiten reducir el nivel de éxito en la explotación de los diferentes servicios. Por último, debemos contar una solución de seguridad con capacidad de detección proactiva que nos permite estar bien protegido contra este tipo de amenazas.

No hay comentarios:

Publicar un comentario