El módem, una puerta abierta a fallos de seguridad

La mayor demanda de ancho de banda por parte de los usuarios está llevando a los proveedores de servicio, o ISPs, a entregar módems configurados para aceptar peticiones DNS de todas las fuentes, incluidos los hackers.

Los expertos en seguridad en Internet han advertido que los módems mal configurados están empeorando un problema conocido con los DNS de Internet, haciendo que sea más fácil para los hackers lanzar ataques DDoS, o de denegación de servicio, contra sus víctimas.

El sistema de nombre de dominio, o DNS por sus siglas en inglés (Domain Name System) es un método que convierte los nombres Internet en sus correspondientes números Internet de forma que el usuario no tenga que acordarse de la IP 62.128.130.61, sino el nombre de www.itespresso.es. Los servidores DNS que reciben una petición, primero buscan la respuesta en la memoria caché. Si es así, sirven la respuesta; en caso contrario, iniciarían la búsqueda de manera repetitiva. Una vez encontrada la respuesta, el servidor DNS guardará el resultado en su memoria caché para futuros usos y devuelve el resultado.

Según la investigación parte del problema es el cada vez mayor número de dispositivos que están configurados para aceptar peticiones DNS de cualquiera, lo que los expertos denominan sistemas ‘open recursive’ u ‘open resolver’. Telefónia y France Telecom son las principales operadoras en entregar módems con este problema. Según explican en Infoworld el porcentaje de sistemas DNS en Internet que están configurados de esta manera ha crecido desde un 50% en 2007 a casi un 80% este año.

Parece ser que el hecho de querer conectar múltiples ordenadores a Internet es lo que ha llevado a un aumento de los sistemas ‘recursive’. También está el hecho de que la mayoría de los módems incorporan servidores DNS que se entregan con la opción “abierto” por defecto. Por lo tanto, ya que los módems se configuran como servidores ‘open recursive’ o ‘abierto recurrente’ responden a las peticiones DNS de cualquiera en Internet, que puede llevar a lo que se conoce como un ataque de amplificación de DNS, que es un tipo de ataque de denegación de servicio.

En este tipo de ataque los hackers envían falsos mensajes de peticiones DNS al servidor recurrente. Al bombardear a varios servidores DNS con estas peticiones lo que hacen los atacantes es sobrecargarlos de tal forma que los dejan fuera de servicio. Concretamente el atacante envía una gran cantidad de direcciones IP falsas al DNS, que ellas procesa como si fueran válidas, mandando una respuesta al sistema que se quiere atacar, que se ve saturado.

Los expertos en DNS conocen los problemas de la configuración de ‘recurrentes abiertos’ desde hace años, y por eso se sorprenden de que en lugar de reducirse, aumenten. Pero lo peor es que la mayoría de estos dispositivos no incluyen parches para fallos ya descubiertos y publicados, como uno que permitiría localizar a los usuarios de estos dispositivos utilizando servidores de Internet controlados por hackers y engañarlos sin que se den cuenta.

Se estima que el 10% de los servidores recurrentes abiertos que hay en Internet no han sido parcheados.

Además, los expertos creen que el estándar de próxima generación Ipv6 podría contribuir a este problema sin que nos demos cuenta. Algunos de los modems están configurados para utilizar servidores DNS de software llamados Trick or Tread Daemon (TOTd), que lo que hacen es convertir las direcciones entre los formatos IPv4 e IPv6. En muchas ocasiones este software está configurado como un ‘open resolver’.