Grave vulnerabilidad en los DNS Leerlo, nos afecta a todos

**alquimista** · 29/07/08, 03:47 PM

No se si sabeis algo de este problema, pero no he visto ningún hilo hablando de un tema que ES MUY SERIO

No soy un experto en el tema y seguro que haré algunas imprecisiones, pero voy a tratar de resumir esta historia.

A principios de julio se publicó que se había encontrado una grave vulnerabilidad en el sistema DNS, el que usan los servidores de internet para traducir los nombres de los dominios en direcciones numéricas (ip), que son las que entienden las computadoras. EJ: forobet.com se traduce como 72.232.72.234
No se dieron más detalles del fallo, pero fácilmente se sospechaba que de alguna manera se podría redirigir un dominio a la ip que el atacante quisiera. EJ: escribes forobet.com en el navegador pero te lleva a google.com

El caso, es que se había planeado dar un tiempo de margen desde que se desveló que había un fallo de seguridad hasta el momento de publicarse dicho fallo con todo lujo de detalles. Dicho margen de tiempo debía servir para que los proveedores de internet (ISP) parchearan esta vulnerabilidad en sus servidores DNS. Pero Telefónica y practicamente todas las otras compañías españolas no lo están haciendo y el agujero sigue presente.

Hace unos días se filtraron los detalles del fallo, 2 semanas antes de lo previsto por su descubridor original. Muchos ISP se van a ver sorprendidos por no parchear sus dns y las consecuencias de esto puede ser el peor de los presagios: phishing, pharming, malware, virus, spam, etc.

Desde que se han hecho público dichos detalles, todos los que movemos dinero por internet somos potenciales objetivos de los indeseables que estén desarrollando herramientas para actividades delictivas como las descritas en el párrafo anterior. Ya no se trata de correos que nos llegan o troyanos que nos puedan infectar por nuestro desconocimiento. Estamos hablando de ser posibles víctimas causadas por la negligencia de otros al actualizar sus sistemas. Imaginaros que en vuestro navegador tecleais betfair.com Si hasta ahora el servidor DNS resolvía el dominio y nos llevaba a la ip 212.62.21.242, desde hace una semana es posible que una mafia haya atacado ese servidor DNS y ahora al escribir betfair.com os lleve a una página exacta a betfair pero bajo el control de dicha mafia. Os podeis imaginar que pasaría si introducís usuario y contraseña.

Os dejo unos enlaces que explican muy bien lo que está pasando y posibles soluciones

Grave fallo de seguridad en los servidores DNS
Filtrados los detalles del fallo DNS mientras los proveedores españoles siguen siendo vulnerables
Grave agujero de seguridad en el sistema DNS @ ElOtroLado.net Noticias El Buffer
Comprueba si tu servidor DNS es vulnerable @ ElOtroLado.net
Publicados los detalles de la vulnerabilidad DNS @ ElOtroLado.net

**potas** · 29/07/08, 04:16 PM

Pues nada, hoy día 29 se sabe si las DNS de Telefónica han dejado de ser vulnerables? Si no es así, habrá que ir poniendo las de opendns.

**potas** · 29/07/08, 04:20 PM

Ok. aquí hay un listado actualizado muy frecuentemente donde se muestran las DNS vulnerables y las que no.

Analizador de DNS

**alquimista** · 29/07/08, 04:38 PM

Utilizar las opendns es una buena solución, pero temporal. Por lo que se comenta, si los servidores de opendns hacen peticiones a otros servidores infectados y van recargando la cache con ip fraudulentas, nos acabarán mostrando las mismas páginas que los servidores vulnerables, y por ende en poco tiempo todos los servidores serían vulnerables.

Yo en principio, aparte de haber cambiado a opendns, voy a entrar en las bookies y bancos online poniendo la ip a pelo. Creo que es la forma más segura que queda después de haber comprobado la incompetencia de timofónica en mi caso.

Aquí os dejo la relación bookie-ip que uso, y la de moneybookers y neteller

10a1.com 204.74.99.100
10bet.com 89.234.62.2
888sport.com 84.246.136.136
admiralbet.com 80.120.174.220
bet-at-home.com 80.243.162.175
bet1128.com 213.52.243.41
bet24.com 217.168.162.99
bet365.com 81.94.208.104
betclic.com 194.158.36.196
betcris.com 196.40.1.22
betdirect.com 204.74.99.100
betfair.com 212.62.21.242
betinternet.com 217.23.170.15
betoto.com 195.72.134.133
betsafe.com 213.167.152.131
betsson.com 83.138.131.179
bluesq.com 84.246.136.133
bwin.com 195.72.134.100
canbet.com 72.52.6.63
centrebet.com 134.159.64.71
eurobet.com 62.7.228.141
expekt.com 217.168.168.223
fiestabet.com 196.40.61.18
fubo.com 66.212.244.83
gamebookers.com 88.81.154.73
intertops.com 208.0.228.242
interwetten.com 195.10.192.10
ladbrokes.com 212.118.245.201
miapuesta.com 195.226.152.51
mybet.com 217.168.164.108
nordicbet.com 217.23.175.14
paddypower.com 195.10.120.135
partybets.com 80.81.154.57
pinnaclesports.com 216.152.164.80
unibet.com 194.204.122.58
vcbet.com 204.74.99.100
willhill.com 217.33.148.40
winunited.com 80.121.147.5

moneybookers.com 83.220.158.17
neteller.com 80.65.253.70

**eukz_gecon** · 29/07/08, 05:03 PM

Hola

Antes de nada , perdonad si lo que voy a decir es una tonteria ya que no entiendo nada del tema.

El caso es que a mi desde hace unas 2 o 3 semanas , me llegan a mi correo de hotmail ( a pesar de tener el filtro activado ) , correo basura , spam y demas cosa que nunca me habia ocurrido .De repente me empezo a llegar ese tipo de correo , cuando nunca lo habia hecho y sin yo haberme registrado en ningun sitio.

Supongo que no tendra nada que ver con lo que habeis dicho , pero solo era por comentarlo y ver si a alguien le ahbia apsado

1 saludo

**gafas** · 29/07/08, 09:05 PM

Bueno, deciros aunque yo tampoco soy un experto, que para tranquilizarnos, salió una actualización de windows (concretamente la KB951748 ) referente a esta vulnerabilidad, y que soluciona el problema, aunque da serios problemas de conectividad con ciertos cortafuegos, como el zone alarm o el Look and stop ( el mio) que a su vez hubo que modificar.

Vamos, que si habeis recibido actualizaciones de seguridad ultimamente, os hablo de hace unos quince dias o así que yo la pillé, el problema se solucionó, y nuestro sistema ya no sería vulnerable. Otra cosa es que nuestro cortafuegos se vuelva ( y nos vuelva, como me pasó a mi) loco.

Aqui os pego algo de información sobre la actualización de seguridad KB951748, si es que os referís a esto:

El parche, publicado junto al boletín de seguridad MS08-037, y que corrige vulnerabilidades en DNS que podrían permitir la suplantación de identidad (spoofing),

En realidad se trata de dos vulnerabilidades que permiten la suplantación de identidad (spoofing) en el cliente y el servidor DNS de Windows. Una de las vulnerabilidades podría permitir a un atacante no autenticado remoto suplantar de forma rápida y confiable las respuestas e insertar registros en la memoria caché del servidor o cliente DNS, por lo que se redirigiría el tráfico de Internet.

La segunda vulnerabilidad permite el "envenenamiento" del caché en el DNS de Windows. La vulnerabilidad podría permitir a un atacante remoto no autenticado enviar respuestas especialmente diseñadas a solicitudes DNS realizadas por sistemas vulnerables, por lo que se "envenena" la memoria caché de DNS y se redirige el tráfico de Internet desde ubicaciones legítimas.

Pues eso, que no cunda el pánico.

Saludos

**gurutinho** · 29/07/08, 09:10 PM

Originalmente publicado por potas

Ok. aquí hay un listado actualizado muy frecuentemente donde se muestran las DNS vulnerables y las que no.

Analizador de DNS

Pues yo he configurado mi conexión manualmente para que use dos servidores de telefonica que ahi pone que no son vulnerables. Se supone que con esto ya tengo el tema solucionado no???

**potas** · 29/07/08, 10:15 PM

Originalmente publicado por gurutinho

Pues yo he configurado mi conexión manualmente para que use dos servidores de telefonica que ahi pone que no son vulnerables. Se supone que con esto ya tengo el tema solucionado no???

Pues no se si está solucionado pero yo he hecho lo mismo. Una de mis DNS estaba en la lista de las vulnerables.

**Darius** · 29/07/08, 11:02 PM

Originalmente publicado por eukz_gecon

Hola

Antes de nada , perdonad si lo que voy a decir es una tonteria ya que no entiendo nada del tema.

El caso es que a mi desde hace unas 2 o 3 semanas , me llegan a mi correo de hotmail ( a pesar de tener el filtro activado ) , correo basura , spam y demas cosa que nunca me habia ocurrido .De repente me empezo a llegar ese tipo de correo , cuando nunca lo habia hecho y sin yo haberme registrado en ningun sitio.

Supongo que no tendra nada que ver con lo que habeis dicho , pero solo era por comentarlo y ver si a alguien le ahbia apsado

1 saludo

Actualmente se ha producido un aumento grande de spam, yo en gmail también lo he notado. La mayoria del Spam es proveniente de las ex uniones sovieticas según mis últimas informaciones. Lo mejor, pásate de hotmail a gmail que ha mejorado increiblemente su filtro antispam. Y lo puedes usar en el Messenger igual. Es difícil al principio entender gmail y el concepto de etiquetas y demás pero después es el mejor web mail para mí de los que hay.

No tiene nada que ver con el agujero de seguridad de las dns. Eso sí, el problema, desde mi perspectiva cómo informatico, y que entiendo como funciona un servidor dns, es muy, muy grave.

¡Saludos!

**Grumpy** · 29/07/08, 11:33 PM

bueno yo voy a lanzar una pregunta desde mi mas profunda ignorancia sobre este tema. si yo le doy a alguno mi nombre de usuario y contraseña, como puede sacar dinero de mi cuenta de bf si esta compañia realiza el reintegro de una determinada cantidad de dienro al numero de cuenta de la tarjeta registrada y al nombre del usuario de la cuenta?