Una nueva red de confianza

Un elemento central de Internet que ayuda a millones de sistemas informáticos a ubicarse entre sí finalmente está obteniendo una actualización muy necesaria. El sistema de nombres de dominio (DNS) funciona de manera muy similar a la guía telefónica de Internet, traduciendo las URL que los usuarios escriben en un navegador a las direcciones numéricas que se utilizan para identificar los servidores que alojan el sitio solicitado.





Recientemente, este sistema de 30 años ha comenzado a mostrar su antigüedad.

El año pasado, un equipo de investigadores de seguridad de alto perfil se apresuró a reparar una falla crítica en el DNS que hizo posible secuestrar las comunicaciones legítimas, lo que potencialmente dirigió a los navegantes web desprevenidos a páginas web maliciosas. El parche que se le ocurrió al equipo redujo el peligro inmediato, pero no estaba destinado a ser una solución permanente.

Para una solución a largo plazo, muchos expertos ahora buscan DNSSEC , un protocolo que verifica los mensajes DNS con firmas digitales. El Registro de interés público , que maneja el dominio .org, está implementando DNSSEC en todas las direcciones web que terminan con este sufijo y planea completar la primera fase del proceso a principios de este año. El gobierno de EE. UU. Se ha comprometido a encender DNSSEC para .gov también, y el recién formado Coalición de la industria DNSSEC está presionando para que el protocolo se adopte aún más ampliamente.



Esto es algo así como un cambio radical. En los 14 años transcurridos desde que se concibió DNSSEC, el protocolo luchó por lograr una adopción generalizada porque se consideró que aumentaba innecesariamente la complejidad de la implementación del DNS. La clave de la falla de DNS descubierta el año pasado es que el protocolo fue diseñado durante un período de mayor confianza y no se molesta en autenticar la información. Dan Kaminsky , director de pruebas de penetración en IOActive , una empresa de seguridad con sede en Seattle, se dio cuenta de que, si un atacante podía meterse en una comunicación DNS, podría redirigir el tráfico web de casi cualquier forma. Se han agregado funciones al DNS para reducir la amenaza de que los mensajes sean secuestrados, pero DNSSEC agrega autenticación real al sistema por primera vez.

Consejo de Alexa , Director general del Registro de Interés Público, señala que alguien tenía que ser el primero en implementar el nuevo protocolo. Antes de ahora, dice, las organizaciones responsables de los nombres de dominio no se estaban moviendo para integrar DNSSEC porque estarían enviando credenciales a servidores que no las escuchaban, o estarían escuchando credenciales que no lo harían. estar ahí. Raad dice que el Registro de Interés Público comenzó a integrar DNSSEC mucho antes de que se anunciara la falla de Kaminsky, con la esperanza de alentar la adopción del protocolo dando un ejemplo. Las revelaciones de la falla de Kaminsky simplemente ayudaron a intensificar el debate, dice. Durante los últimos dos años, gran parte del debate en torno a las DNSSEC se centró en '¿Lo necesitamos? ¿Existen otras tecnologías? ¿Qué tan viable es? ”Creo que el debate se ha alejado completamente de eso. Todos entendemos que el DNS está roto. La única solución para eso es, de hecho, DNSSEC. El debate ahora es, '¿Cómo desplegamos?'

DNSSEC se trata de crear una cadena de confianza, agrega Ram Mohan , CTO de Afilias , que ha estado trabajando para ayudar al Registro de Interés Público a manejar su implementación. Hay muchos lugares donde se debe activar DNSSEC para que la cadena de confianza fluya ininterrumpidamente desde el usuario hasta un sitio web. Una vez que un dominio de nivel superior (como .org o .com) implementa DNSSEC, cualquier sitio web bajo ese dominio puede optar por activar DNSSEC también, que es un eslabón importante en la cadena. Dado que los proveedores de servicios de Internet como Comcast han comenzado a admitir DNSSEC, dice Mohan, es posible que algunas visitas a sitios web caigan en gran medida bajo la protección de DNSSEC.



Paul Vixie, presidente de la Consorcio de sistemas de Internet , que mantiene BIND, el software más comúnmente utilizado para procesar mensajes DNS, espera que el movimiento hacia DNSSEC sea una bola de nieve. Con .gov y .org firmados, finalmente existe un mercado para la tecnología y los servicios DNSSEC, dice. Ahora que algunos otros están implementando DNSSEC, muchos otros querrán estar en el negocio de proporcionar soluciones DNSSEC, y eso, a su vez, hará posible que muchos cuidadores de vallas finalmente bajen y se unan a nosotros.

El propio Kaminsky fue inicialmente neutral en DNSSEC como una posible solución a la falla que descubrió con DNS. Ahora ve a DNSSEC como una buena solución, pero advierte que aún queda trabajo por hacer para ayudarlo a escalar. Más importante, dice: otros dominios raíz, que son el núcleo de todas las transacciones de DNS, necesitan utilizar DNSSEC. Aunque el DNS nunca fue diseñado para estar en el corazón de la autenticación en Internet, lo es, y es hora de que comencemos a tratarlo de esa manera, agrega Kaminsky.

Mohan dice que tiene la esperanza de que pronto más dominios implementen DNSSEC. Ya es hora de que el DNS se vuelva más seguro, dice. La integridad del tráfico de DNS está comenzando a cuestionarse con la llegada del phishing y las redes de bots y cosas por el estilo. Aquí hay algo concreto que se puede hacer y que está probado para eliminar un problema claro.



esconder