Actualización de software de Nominum protege a las redes

10/07/2008 - La experiencia de Nominum con DNS y su situación de ventaja en más de 100 redes de operadores ofrecen una visión única sobre las amenazas a la seguridad. Nominum comprende la gravedad de estas amenazas y, anticipándose a la vulneración, ya ha desarrollado avanzadas capacidades para impedirla. Ya se ha dado a conocer una actualización de software que supera las medidas definidas por IETF y el grupo conformado especialmente a estos fines.

La nueva vulnerabilidad descripta en el comunicado US-CERT es un ataque "mejorado" de envenenamiento al caché que permite que un atacante inserte registros falsos en servidores DNS no protegidos, y secuestre información de los usuarios hacia sitios falsos. Desde allí, un atacante puede robar contraseñas o potencialmente obtener alguna otra información sensible y valiosa de una víctima que no tiene ni idea sobre lo que está ocurriendo. Este tipo de ataque "phishing" es especialmente peligroso porque el usuario cree que está en un sitio familiar. Si los usuarios de Internet comienzan a creer que no pueden confiar en la infraestructura básica de Internet, el impacto sobre el comercio electrónico y otras operaciones en Internet es potencialmente masivo.

"La gravedad de esta amenaza exige una acción inmediata", dijo el Dr. Paul Mockapetris, Director General de Ciencias de Nominum e inventor de la tecnología DNS. "El envenenamiento del caché permite al atacante controlar selectivamente los sitios de destino en la web para los usuarios que acceden a DNS comprometidas. Nominum y otros proveedores de DNS elegidos trabajaron de cerca con investigadores de seguridad para definir los exclusivos problemas creados por esta nueva vulnerabilidad, y cada proveedor desarrolló nuevas implementaciones de software para abordar proactivamente las explotaciones potenciales", dijo luego.

El grupo de múltiples proveedores rápidamente implementó, como la solución, la UDP Source Port Randomization definida en el boceto IETF "Measures for making DNS more resilient against forged answers" (draft-ietf-dnext-forgery-resilience-05.txt)("Medidas para hacer que DNS sea más resistente a respuestas falsificadas"). Randomizar el puerto UDP usado para consultas DNS aumenta mucho la resistencia a quienes aprovechan la nueva vulnerabilidad. Fue implementada con rapidez, y Nominum dio los pasos para proteger -- proactivamente -- las redes del cliente mucho antes de la divulgación pública.

"El foco y el compromiso de Nominum están en mejorar la Internet, y la seguridad es una parte clave de nuestra misión", dijo Tom Tovar, CEO de Nominum. "Tenemos una responsabilidad con cada cliente y con los más de 150 millones de usuarios que cada día cuestionan nuestra base instalada de productos DNS. Nuestro objetivo en responder a esta vulnerabilidad es asegurar que Internet continúe siendo un medio de comunicación confiable para toda la comunidad en línea del mundo".

La implementación de software de Nominum utiliza un abordaje de randomización de puerto más agresivo para fortificar las defensas de CNS y Vantio. Además, Nominum ha hecho grandes inversiones en capacidades avanzadas que brindan un nivel de resistencia a estas amenazas a la seguridad, que no tiene precedentes en la industria.

Comenzando con el único buscador de grado comercial DNS del sector, Nominum ha integrado la inteligencia en la ruta de solicitudes que introduce capas adicionales de protección contra envenenamiento del caché. El apoyo para UDP Source Port Randomization, como parte del esfuerzo por impedir esta última amenaza, mejora la resistencia a las amenazas de envenenamiento del caché, ya está disponible en las implementaciones de Nominum. El avanzado diseño del buscador de Nominum asegura alto rendimiento incluso con prestaciones de seguridad activadas y bajo ataque.