Secuestro de DNS

Práctica de subvertir la resolución de consultas del Sistema de Nombres de Dominio

El secuestro de DNS , envenenamiento de DNS o redirección de DNS es la práctica de subvertir la resolución de las consultas del Sistema de nombres de dominio (DNS). ^[1] Esto se puede lograr mediante malware que anula la configuración TCP/IP de una computadora para apuntar a un servidor DNS no autorizado bajo el control de un atacante, o modificando el comportamiento de un servidor DNS confiable para que no cumpla con los estándares de Internet .

Estas modificaciones pueden realizarse con fines maliciosos, como phishing , con fines egoístas por parte de proveedores de servicios de Internet (ISP), por el Gran Cortafuegos de China y proveedores de servidores DNS en línea públicos o basados ​​en enrutadores para dirigir el tráfico web de los usuarios a los servidores web del propio ISP donde se pueden mostrar anuncios, recopilar estadísticas u otros fines del ISP; y por proveedores de servicios DNS para bloquear el acceso a dominios seleccionados como una forma de censura .

Antecedentes técnicos

Una de las funciones de un servidor DNS es traducir un nombre de dominio en una dirección IP que las aplicaciones necesitan para conectarse a un recurso de Internet, como un sitio web . Esta funcionalidad se define en varios estándares formales de Internet que definen el protocolo con gran detalle. Los usuarios y las computadoras que tienen acceso a Internet confían implícitamente en los servidores DNS para resolver correctamente los nombres en las direcciones reales registradas por los propietarios de un dominio de Internet.

Captura de pantalla de un comando dig , que muestra una respuesta falsa de un servidor DNS iraní a una solicitud para resolver la Wikipedia en persa

Servidor DNS no autorizado

Un servidor DNS fraudulento traduce los nombres de dominio de sitios web deseables (motores de búsqueda, bancos, corredores, etc.) en direcciones IP de sitios con contenido no deseado, incluso sitios web maliciosos. La mayoría de los usuarios dependen de servidores DNS asignados automáticamente por sus ISP . Los servidores DNS asignados a un enrutador también pueden alterarse mediante la explotación remota de una vulnerabilidad dentro del firmware del enrutador. ^[2] Cuando los usuarios intentan visitar sitios web, en su lugar se les envía a un sitio web falso. Este ataque se denomina pharming . Si el sitio al que se les redirige es un sitio web malicioso, que se hace pasar por un sitio web legítimo, para obtener información confidencial de manera fraudulenta, se denomina phishing . ^[3]

Manipulación por parte de los ISP

Varios ISP de consumo, como AT&T , ^[4] Optimum Online de Cablevision , ^[5] CenturyLink , ^[6] Cox Communications , RCN , ^[7] Rogers , ^[8] Charter Communications (Spectrum) , Plusnet , ^[9] Verizon , ^[10] Sprint , ^[11] T-Mobile US , ^[12] Virgin Media , ^{[13] [14]} Frontier Communications , Bell Sympatico , ^[15] Deutsche Telekom AG , ^[16] Optus , ^[17] Mediacom , ^[18] ONO , ^[19] TalkTalk , ^[20] Bigpond ( Telstra ), ^{[21] [22] [23] [24]} TTNET, Türksat y todos los ISP de consumo de Indonesia utilizan o han utilizado el secuestro de DNS para sus propios fines, como mostrar anuncios ^[25] o recopilar estadísticas. Los ISP holandeses XS4ALL y Ziggo utilizan el secuestro de DNS por orden judicial: se les ordenó bloquear el acceso a The Pirate Bay y mostrar una página de advertencia ^[26], mientras que todos los ISP clientes en Indonesia realizan el secuestro de DNS para cumplir con la ley nacional de DNS ^[27] que requiere que cada ISP cliente de Indonesia secuestre el puerto 53 y lo redirija a su propio servidor para bloquear los sitios web que figuran en Trustpositif de Kominfo en la campaña Internet Sehat. Estas prácticas violan el estándar RFC para respuestas DNS (NXDOMAIN), ^[28] y pueden exponer potencialmente a los usuarios a ataques de secuencias de comandos entre sitios . ^[25]

El problema del secuestro de DNS implica este secuestro de la respuesta NXDOMAIN. Las aplicaciones de Internet e intranet dependen de la respuesta NXDOMAIN para describir la condición en la que el DNS no tiene ninguna entrada para el host especificado. Si uno fuera a consultar el nombre de dominio no válido (por ejemplo www.example.invalid), debería obtener una respuesta NXDOMAIN, informando a la aplicación de que el nombre no es válido y tomando la acción apropiada (por ejemplo, mostrando un error o no intentando conectarse al servidor). Sin embargo, si el nombre de dominio se consulta en uno de estos ISP no compatibles, uno siempre recibiría una dirección IP falsa que pertenece al ISP. En un navegador web , este comportamiento puede ser molesto u ofensivo ya que las conexiones a esta dirección IP muestran la página de redireccionamiento del ISP del proveedor, a veces con publicidad, en lugar de un mensaje de error adecuado. Sin embargo, otras aplicaciones que dependen del error NXDOMAIN intentarán en su lugar iniciar conexiones a esta dirección IP falsificada, exponiendo potencialmente información confidencial.

Ejemplos de funcionalidades que fallan cuando un ISP secuestra el DNS:

• A las computadoras portátiles itinerantes que son miembros de un dominio de Windows Server se les hará creer erróneamente que están nuevamente en una red corporativa porque los recursos como los controladores de dominio , los servidores de correo electrónico y otra infraestructura parecerán estar disponibles. Por lo tanto, las aplicaciones intentarán iniciar conexiones con estos servidores corporativos, pero fallarán, lo que dará como resultado un rendimiento degradado, tráfico innecesario en la conexión a Internet y tiempos de espera agotados .
• Muchas redes domésticas y de oficinas pequeñas no tienen su propio servidor DNS, sino que dependen de la resolución de nombres por difusión . Muchas versiones de Microsoft Windows priorizan de manera predeterminada la resolución de nombres DNS por sobre la resolución de nombres por difusión NetBIOS; por lo tanto, cuando un servidor DNS de un ISP devuelve una dirección IP (técnicamente válida) para el nombre del equipo deseado en la LAN, el equipo que se conecta utiliza esta dirección IP incorrecta e inevitablemente no puede conectarse al equipo deseado en la LAN. Las soluciones alternativas incluyen utilizar la dirección IP correcta en lugar del nombre del equipo o cambiar el valor de registro DhcpNodeType para cambiar el orden del servicio de resolución de nombres. ^[29]
• Los navegadores como Firefox ya no tienen su funcionalidad "Buscar por nombre" (donde las palabras clave escritas en la barra de direcciones llevan a los usuarios al sitio más cercano). ^[30]
• El cliente DNS local integrado en los sistemas operativos modernos almacenará en caché los resultados de las búsquedas DNS por razones de rendimiento. Si un cliente cambia entre una red doméstica y una VPN , es posible que las entradas falsas permanezcan en caché, lo que generará una interrupción del servicio en la conexión VPN.
• Las soluciones antispam de DNSBL dependen del DNS; por lo tanto, los resultados de DNS falsos interfieren con su funcionamiento.
• Los datos confidenciales de los usuarios podrían ser filtrados por aplicaciones que son engañadas por el ISP haciéndoles creer que los servidores a los que desean conectarse están disponibles.
• Se elimina la elección del usuario sobre qué motor de búsqueda consultar en caso de escribir mal una URL en un navegador, ya que el ISP determina qué resultados de búsqueda se muestran al usuario.
• Las computadoras configuradas para usar un túnel dividido con una conexión VPN dejarán de funcionar porque los nombres de intranet que no deberían resolverse fuera del túnel a través de Internet público comenzarán a resolverse en direcciones ficticias, en lugar de resolverse correctamente a través del túnel VPN en un servidor DNS privado cuando se recibe una respuesta NXDOMAIN desde Internet. Por ejemplo, un cliente de correo que intenta resolver el registro DNS A para un servidor de correo interno puede recibir una respuesta DNS falsa que lo dirige a un servidor web de resultados pagos, con mensajes en cola para su entrega durante días mientras se intenta la retransmisión en vano. ^[31]
• Viola el Protocolo de descubrimiento automático de proxy web (WPAD) al hacer que los navegadores web crean incorrectamente que el ISP tiene un servidor proxy configurado.
• Daña el software de monitoreo. Por ejemplo, si uno contacta periódicamente a un servidor para determinar su estado, un monitor nunca detectará una falla a menos que intente verificar la clave criptográfica del servidor.

En algunos casos, pero no en la mayoría, los ISP proporcionan configuraciones configurables por el suscriptor para desactivar el secuestro de respuestas de NXDOMAIN. Si se implementa correctamente, esta configuración hace que el DNS vuelva a su comportamiento estándar. Sin embargo, otros ISP utilizan una cookie del navegador web para almacenar la preferencia. En este caso, el comportamiento subyacente no se resuelve: las consultas DNS continúan siendo redirigidas, mientras que la página de redireccionamiento del ISP se reemplaza con una página de error DNS falsa. Las aplicaciones que no sean navegadores web no pueden optar por no participar en el esquema mediante el uso de cookies, ya que la exclusión voluntaria solo se dirige al protocolo HTTP , cuando el esquema en realidad se implementa en el DNS independiente del protocolo.

Respuesta

En el Reino Unido, la Oficina del Comisionado de Información ha reconocido que la práctica del secuestro involuntario de DNS contraviene la PECR y la Directiva CE 95/46 sobre Protección de Datos, que exigen el consentimiento explícito para el procesamiento del tráfico de comunicaciones. ^[13] En Alemania, en 2019 se reveló que Deutsche Telekom AG no solo manipuló sus servidores DNS, sino que también transmitió tráfico de red (como cookies no seguras cuando los usuarios no usaban HTTPS ) a una empresa de terceros porque el portal web T-Online, al que se redirigía a los usuarios debido a la manipulación de DNS, ya no era propiedad de Deutsche Telekom. Después de que un usuario presentara una denuncia penal, Deutsche Telekom detuvo más manipulaciones de DNS. ^[32]

La ICANN , el organismo internacional responsable de administrar los nombres de dominio de nivel superior, ha publicado un memorando en el que destaca sus preocupaciones y afirma: ^[31]

La ICANN desaconseja enfáticamente el uso de redirección de DNS, comodines, respuestas sintetizadas y cualquier otra forma de sustitución de NXDOMAIN en gTLD, ccTLD y cualquier otro nivel existentes en el árbol DNS para nombres de dominio de clase de registro.

Recurso

Los usuarios finales, insatisfechos con las deficientes opciones de "exclusión voluntaria" como las cookies, han respondido a la controversia encontrando formas de evitar las respuestas falsificadas de NXDOMAIN. El software de DNS como BIND y Dnsmasq ofrece opciones para filtrar resultados y se puede ejecutar desde una puerta de enlace o un enrutador para proteger una red completa. Google, entre otros, ejecuta servidores DNS abiertos que actualmente no devuelven resultados falsificados. Por lo tanto, un usuario podría usar Google Public DNS en lugar de los servidores DNS de su ISP si está dispuesto a aceptar que usa el servicio bajo la política de privacidad de Google y potencialmente estar expuesto a otro método por el cual Google puede rastrear al usuario. Una limitación de este enfoque es que algunos proveedores bloquean o reescriben las solicitudes DNS externas. OpenDNS , propiedad de Cisco, es un servicio popular similar que no altera las respuestas de NXDOMAIN.

En abril de 2016, Google lanzó el servicio DNS-over-HTTPS. ^[33] Este esquema puede superar las limitaciones del protocolo DNS heredado. Realiza una comprobación DNSSEC remota y transfiere los resultados en un túnel HTTPS seguro.

También existen soluciones alternativas a nivel de aplicación, como la extensión NoRedirect ^[34] de Firefox , que mitigan parte del comportamiento. Un enfoque como ese solo repara una aplicación (en este ejemplo, Firefox) y no solucionará ningún otro problema causado. Los propietarios de sitios web pueden engañar a algunos secuestradores mediante el uso de ciertas configuraciones de DNS. Por ejemplo, estableciendo un registro TXT de "sin usar" en su dirección comodín (por ejemplo, *.example.com). Alternativamente, pueden intentar establecer el CNAME del comodín en "example.invalid", aprovechando el hecho de que se garantiza que ".invalid" no existe según la RFC. La limitación de ese enfoque es que solo evita el secuestro en esos dominios en particular, pero puede solucionar algunos problemas de seguridad de VPN causados ​​por el secuestro de DNS.

Véase también

• Portal cautivo
• Envenenamiento de caché DNS
• Revinculación de DNS
• Suplantación de DNS
• Secuestro de dominio
• Protocolo de configuración dinámica de host
• Farmacia
• Protocolo punto a punto
• Ataque de suplantación de identidad
• Ataque de restablecimiento de TCP
• Trojan.Win32.DNSChanger

Referencias

1. "¿Qué es un secuestro de DNS? Explicación de los ataques de redirección | Imperva". Centro de aprendizaje . Consultado el 13 de diciembre de 2020 .
2. Constantin, Lucian (27 de enero de 2015). "Un fallo en el secuestro de DNS afecta al enrutador DSL de D-Link y posiblemente a otros dispositivos" . Consultado el 21 de junio de 2017 .
3. "Servidores de sistemas de nombres de dominio no autorizados". Trend Micro . Consultado el 15 de diciembre de 2007 .
4. "Página de asistencia DNS de ATT". 27 de marzo de 2017. Consultado el 24 de febrero de 2018 .
5. "Asistencia DNS en línea óptima". Archivado desde el original el 13 de agosto de 2009.
6. "Re: [Qwest] La exclusión voluntaria del secuestro de CenturyLink Web Helper no es posible - CenturyLink | Foros de DSLReports". DSL Reports . Consultado el 12 de octubre de 2016 .
7. "¿Quién me robó mi navegador web?". 13 de octubre de 2009.
8. "Rogers utiliza inspección profunda de paquetes para redirección de DNS". dslreports.com. 20 de junio de 2008. Consultado el 15 de junio de 2010 .
9. "Los ISP del Reino Unido proporcionan CDN para Google". equk.co.uk. 7 de abril de 2014. Consultado el 25 de octubre de 2015 .
10. "Cómo optar por no recibir asistencia de DNS". Archivado desde el original el 12 de febrero de 2015 . Consultado el 12 de febrero de 2015 .
11. "¿Las torres 3G y 4G de Sprint están secuestrando las respuestas de NXDOMAIN? Más información en los comentarios... • r/Sprint". reddit . 5 de septiembre de 2014 . Consultado el 24 de febrero de 2018 .
12. "¿Cómo desactivo el secuestro de NXDOMAIN? • r/tmobile". reddit . 20 de julio de 2015 . Consultado el 24 de febrero de 2018 .
13. "ICO: No detendremos la búsqueda avanzada de errores de red". Archivado desde el original el 17 de febrero de 2015.
14. "Número de referencia del caso ENQ0265706" (PDF) . No estoy convencido de que exista alguna probabilidad de perjuicio o daño a los suscriptores o usuarios que justifique la adopción de medidas formales en este caso.^{[ enlace muerto permanente ]}
15. "Bell comienza a secuestrar consultas de dominio NS". 4 de agosto de 2009.
16. Reiko Kaps (17 de abril de 2009). «Telekom leitet DNS-Fehlermeldungen um» (en alemán) . Consultado el 9 de diciembre de 2019 .
17. "Optus' "Acerca de la página de resultados de búsqueda"". Archivado desde el original el 13 de julio de 2012 . Consultado el 10 de diciembre de 2009 .
18. "¿Quiere un ejemplo real de por qué necesitamos la neutralidad de la red? Tengo uno aquí". 25 de septiembre de 2009.
19. "XSS Reflected dnssearch.Ono.es NXD redirect". 10 de mayo de 2010. Archivado desde el original el 12 de junio de 2018. Consultado el 24 de febrero de 2018 .
20. "TalkTalk - Buscar". error.talktalk.co.uk . Consultado el 24 de febrero de 2018 .^{[ enlace muerto permanente ]}
21. "BigPond redirige errores tipográficos a una página de búsqueda de marca 'poco ética'". CRN Australia . Consultado el 24 de febrero de 2018 .
22. "Carta que corrompe el protocolo DNS, es decir, secuestra hosts".
23. "Secuestro de DNS de Road Runner que provoca páginas web lentas". Archivado desde el original el 10 de diciembre de 2010.
24. "Rogers viola la neutralidad de la red al secuestrar búsquedas DNS fallidas". Archivado desde el original el 27 de julio de 2008.
25. Singel, Ryan (19 de abril de 2008). "Los anuncios en páginas de error de los ISP permiten a los piratas informáticos secuestrar toda la Web, revela un investigador". Wired .
26. Digitado. "XS4ALL blokkeert adressen Pirate Bay voorlopig | Blog XS4ALL". blog.xs4all.nl (en holandés) . Consultado el 5 de octubre de 2017 .
27. Tanjung, Tidar. "¿Kominfo Finalisasi DNS Nacional?" . Consultado el 11 de junio de 2018 .
28. Andrews, M. (1998). "Almacenamiento en caché negativo de consultas DNS". doi : 10.17487/RFC2308 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
29. "NetBIOS y WINS". howtonetworking.com . Consultado el 24 de febrero de 2018 .
30. "Uso de Firefox + extensión NoRedirect para evitar el secuestro de DNS". Archivado desde el original el 3 de marzo de 2011.
31. "Daños causados ​​por la sustitución de NXDOMAIN en nombres de dominio de nivel superior y otros nombres de registro" (PDF) . ICANN . 24 de noviembre de 2009 . Consultado el 23 de septiembre de 2010 .
32. "Secuestro de DNS de Telekom beendet". de .
33. "DNS-over-HTTPS - DNS público". Google Developers . 4 de septiembre de 2018 . Consultado el 12 de marzo de 2019 .
34. "NoRedirect – Complementos para Firefox". addons.mozilla.org . Archivado desde el original el 25 de febrero de 2018 . Consultado el 24 de febrero de 2018 .