Thursday, April 23, 2009

DNS Cache poisoning a Bradesco en Brasil




Este ataque es muy interesante, ya tiene varios años y consiste en "envenenar" el cache de un server DNS redirigiendo a los usuarios a un sitio malicioso.

En 1998 se dio el caso de Eugene E. Kashpureff quien uso esta tecnica para redirigir a los clientes de Internic hacia el sitio AlterNic el cual era competencia del primero.

En 1999 durante la campaña a senadora de Hilary Clinton, su sitio www.hillary2000.org sufrió un ataque de DNS poisoning, redirigiendo a sus visitantes al sitio de Rudolph Giuliani su contrincante.

Existen otros casos y variantes de ataques a servers DNS, pero el caso puntual que hablo se refiere a esta técnica.

En Brasil se aprovecharon de esto para atacar al Banco Bradesco, uno de los mayores de este pais hermano. Esto lo lograron envenenando el cache de uno de los mayores proveedores de internet por cable, Virtua. ( Una especie de Cablevision local )

Los clientes que accedieron al sitio malicioso, han observado un cartel indicando que el certificado del sitio tenia problemas. Pero ya sabemos que las personas prestan poca atención a esto.



Como se realiza un ataque de DNS poisoning ?

Estos son los pasos



1. El atacante busca en el server DNS por la IP de un host que administrado por su propio DNS server – “Cual es la IP de www.attackerowned.com?”

2. El server DNS que hace cache no tiene una entrada para www.attackerowned.com y debe resolver la IP pero realizando una búsqueda en el servidor primario del dominio attackerowned.com. Esta server por supuesto pertenece al atacante.

3. El server del atacante informa al DNS que realizara el caching que la IP dewww.attackerowned.com es 200.1.1.10. Ademas, el DNS del atacante incluye registros falsos
1. www.mybank.com is 200.1.1.11
2. mail.mybank.com is 200.1.1.11
3. secure.mybank.com is 200.1.1.11

4. Luego el DNS que realiza el caching responde " LA IP de www.attackerowned.com es 200.1.1.10.” A todo esto, también almaceno los registros falsos por el tiempo de vida que tiene configurado ( TTL )

5. Durante el dia un cliente que consulte a este server preguntara en algún momento por www.mybank.com con lo que el DNS "envenenado" responderá con la IP www.mybank.com redirigiéndolo al sitio que el atacante tendra preparado y no a la original 150.10.1.21.


Hay varios ataques a los servers de DNS, otro muy efectivo es realizado mediante MitM ( Man in the Middle ). Las peticiones de DNS de un usuario son respondidas por el atacante, mediante un registro falso. Redirigiendo al usuario a sitios maliciosos.

La semana pasada mostramos que era posible realizar arp poisoning en parte de la red de Telecentro, esto deja expuestos a los usuarios a este tipo de ataques.



Mas info en :

The Register
O Globo
Wikipedia
Technical guide

No comments: