DNS al Ataque
Hace algunos días, mientras leía algunos reportes de seguridad que son publicados por diversos fabricantes año tras año, recibimos la llamada telefónica del gerente de TI de una empresa la cual llamaré ACME por cuestiones de confidencialidad. Lo primero que escuche cuando nuestra amable recepcionista transfirió la llamada a mi extensión fue: “Estamos bajo ataque” y claro, antes de salir corriendo mientras analizaba que México no está involucrado en ningún conflicto bélico con otro país recibí el segundo paquete de palabras por el auricular: “necesito que me mandes a un ingeniero”. – Ok ok – le respondí - pero primero explícame un poco más que esta pasando.
Tuvimos una plática de varios minutos, ya con uno de nuestros ingenieros en conferencia, y al final decidimos este se movería al sitio a revisar que estaba sucediendo, así que el muchacho agarró su laptop su mochila una caja que tenía por ahí en su lugar y se fue sin decir agua va.
Al final del día me habla nuestro analista de seguridad Senior, se oye muy padre, y me notifica que efectivamente nuestro cliente ACME estaba bajo ataque. Varias computadoras de la red local estaban contaminadas con bots, los cuales se habían podido comunicar a su centro de comando y control y le estaban armando una fiesta de lo lindo dentro de la red realizando ataques de fuerza bruta a servidores locales y moviéndose de manera latera, es decir brincando a las maquinas del vecino.
Los mismos reportes de seguridad que leía tranquilamente antes de la llamada, indican unos más que otros, que entre un 60 y 70 por ciento de las redes que fueron analizadas tienen bots haciendo conexiones a sus centros de control. Lo primero que uno se puede preguntar es si estas redes no tienen controles de seguridad para prevenir que estos programas maliciosos entren en su red, por supuesto que si los tienen!!. En nuestro caso resulta que algunos administradores de TI de manera intencional configuraron estos controles para que no pudiesen ver el trafico de sus dispositivos y evitarse así los “inconvenientes” de no poder navegar libremente en Internet, ¿a alguien le suena esto familiar?.
Hay muchas formas en la cuales los bots entran, y seguirán entrando en nuestras redes pero y a todo esto ¿cómo participa el DNS en la historia?. Resulta que cuando este mentado bot se aloja en una computadora lo primero que hace es comunicarse a su centro de control en Internet, con su maestro creador, para decirle “ya estoy aquí instalado con una victima, ¿qué deseas que haga?”, y espera a recibir instrucciones. Lo interesante es que estas redes maléficas de control que viven en internet no permanecen con un direccionamiento fijo. Es obvio pensar que si tuviesen un direccionamiento estático serían fácilmente identificadas y deshabilitadas.
Existe una técnica que estas redes utilizan para no poder ser localizadas llamada Fast Flux, hay incluso variantes como el single flux y double flux. No es la intención dar una explicación a detalle pero en resumen, estos centros de control cambian de direccionamiento de internet de manera constante, incluso en el rango de minutos, y por lo tanto utilizan el servicio de DNS, WOW!, para poder ser localizadas. Así que lo primero que hace un bot una vez alojado en una computadora es revisar el DNS que esta siendo utilizado y preguntar por dirección a donde debe comunicarse. ¿Que sucede si este DNS es capaz de reconocer que la petición que está recibiendo es para comunicarse a un dominio malicioso?. Creo que la respuesta en muy obvia y también creo que sería aún mejor si adicionalmente pudiese alertarme de estas peticiones y quien las realiza para tomar cartas en el asunto de manera puntual.
Nuestro DNS es un elemento crítico de la red, si no me creen vayan y apaguen el suyo para ver que sucede. Si este amigo tiene una visión casi total de lo que los usuarios están accediendo a Internet podemos sacar ventaja de esto y contribuir de manera importante a reducir el riesgo de ser atacados.