El problema del DNS (Parte 1)

(Por El Microsaurio) Es un problema realmente grave. Me refiero a la noticia en cuerpo catástrofe “La Vulnerabilidad En El Sistema DNS Podría Provocar El Colapso De La Internet”. Seré piadoso y no publicaré la URL donde vi esto (de todas maneras, la noticia estaba en francés).
No, no nos quedaremos sin la Web mañana por la tarde. Pero en parte se debe a la discreción de un tipo que encontró el problema, lo analizó, se comunicó con otro que conocía a todos “los grandes”, convocó a una reunión, y no dio a publicidad el problema hasta que se prepararon los parches.
Como me comía la curiosidad, esperé hasta después del fin de semana para publicar mis propias conclusiones. Además me encantará ver quiénes de los ISP locales emparcharon sus servidores de DNS. Pero te merecés que te tire un resumen previo. Muy, muy “resumen”. Si querés precisión científica, paseate por las referencias Wikipedia que te puse por allí (dentro de las limitaciones de la Wikipedia…)
A principios de este año, don Dan Kaminsky, de la empresa IOSecurity Inc, descubrió que el programa cargado en los servidores DNS (vean la explicación sobre DNS de la güiquipedia castellana acá, no me hagan perder tiempo) contenía una seria falla de programación. Que podría permitir que un atacante capturara un pedido de página Web y lo redirigiera a una página cargada con ejecutables malignos. Para dar un ejemplo simplísimo, vos escribís www.mibancofavorito.com.ar y en lugar de ir a hacer ebanking, caés en un website trucho donde escribís tus contraseñas y sos desplumado.
El tema es que esta vez o era culpa de Microsoft, o de Red Hat. Nooooo. Los programas o sistemas de servidor DNS que contienen esta falla, según una lista del gobierno norteamericano de la noche del jueves 10, son más de ochenta. Así que por una vez, por favor, basta de la estúpida discusión sobre marcas o sistemas operativos. El problema es absolutamente de todos, a escala mundial.
Retomemos la parte histórica. Kaminsky se conectó con Paul Vixie, un especialista que por muchos años se dedicó a mantener funcionando Servidores Raíz DNS, y autor de uno de los programas más usados como servidor DNS, llamado BIND. Según las palabras de Kaminsky en su blog, Vixie fue contactado porque “conoce a todo el mundo”, refiriéndose a los capos de tecnología de Internet de empresas como Microsoft, Siemens Alemania, Fujitsu Supercomputers de Japón, IBM, Cisco, HP, Novell/Suse, Red Hat. En fin, exactamente el tipo que podía sentarlos a todos en la misma mesa.
¿Cuál mesa?
Una del campus de Microsoft, en Redmond. Donde en marzo se sentaron también representantes del gobierno, los que publicaron esa lista que mencioné más arriba. Discutieron, volaron las culpas, se aquietaron los ánimos, y se pusieron a trabajar en la solución. Culpas, sí, porque se trata de un error de diseño ocurrido años atrás, copiado por todos los proveedores al adaptar la implementación de BIND para el sistema DNS a sus propios sistemas operativos. Lo cual es lógico, porque si yo quiero entrar en “microsoft.com” y estoy saliendo desde (digamos) un cablecito de Arnet, y mi petición pasa por dos o tres routers de Cisco, va a parar a una fibra óptica que salta hasta Brasil, reboto en las afueras de Miami y atravieso los USAs hasta parar en la costa del Pacífico donde está Redmond, imaginate la cantidad de máquinas (de diferentes proveedores) que deben entender y aceptar mi pedido. Dentro de lo posible, deben hablar un idioma común. Por eso había que sentar a varios pesos pesados, todos de mal humor, porque la solución pasaba por escribir un parche muy, muy delicado pagando el costo de desarrollo y aguantándose. Y Paul Vixie, como autor de BIND, tenía parte de la responsabilidad y debía solicitar que se solucionara el problema.
Mañana te cuento el resto