Archivo de la categoría: Internet

Cosas de Internet

Vulnerabilidad en los servidores DNS y cómo evitarla

Posted on por

Technorati Tags: ,

La noticia no es nueva ni mucho menos, pero la vulnerabilidad de los servidores DNS sigue sin terminar de solucionarse en los ISP españoles. De hecho, en Bandaancha han hecho una prueba de concepto envenenando los DNS de Telefónica.

¿Qué significa todo esto?

Pues muy sencillo, significa que alguien que quiera hacer phishing lo tiene «chupao». ¿Cómo? Si consigue envenenar los DNS de los proveedores que usamos todos y hace que las peticiones de nombres de bancos como www.bbva.com, www.ibanesto.com, www.ingdirect.es, etc., apunten al servidor que quiera, podrán hacer un auténtico estropicio a la gente que le redireccionen a la web del atacante.

¿Cómo saber si me afecta?

Para comprobar si nuestros DNS son vulnerables, una opción es pinchar en «Check My DNS» en la web DoxPara. La respuesta que obtengo con mis DNS actuales es:

Your name server, at 208.69.34.10, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.

Es decir, que en principio yo no debería tener problemas.

Otra opción, si queremos comprobar unos DNS concretos sin tener que configurarlos, en Windows, abrimos una ventana de comandos (Inicio -> Ejecutar -> «cmd» y «Enter») y escribimos:

nslookup -type=txt -timeout=30 porttest.dns-oarc.net [servidor]

Donde [servidor] es opcional (si está en blanco tomará el que tengamos configurado por defecto) y podemos probar con 195.235.113.3 o 195.235.96.90 (DNS de Terra). Lo que hace la petición de nombre de porttest.dns-oarc.net es decirnos si el DNS que ha pedido su nombre es vulnerable o no. Por ejemplo:

C:\>nslookup -type=txt -timeout=30 porttest.dns-oarc.net 195.235.113.3
Servidor: dns.terra.es
Address: 195.235.113.3

DNS request timed out.
timeout was 30 seconds.
Respuesta no autoritativa:
porttest.dns-oarc.net canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net text =
«213.4.130.1 is GOOD: 26 queries in 4.8 seconds from 26 ports with std dev 17465.47»

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

C:\>nslookup -type=txt -timeout=30 porttest.dns-oarc.net 195.235.96.90
Servidor: tpdns2.terra.es
Address: 195.235.96.90

DNS request timed out.
timeout was 30 seconds.
Respuesta no autoritativa:
porttest.dns-oarc.net canonical name = z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net text =

«213.4.132.60 is POOR: 26 queries in 4.9 seconds from 1 ports with std dev 0.00»

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net nameserver = ns.z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net

Esto nos dice que el servidor 195.235.113.3 es seguro, mientras que 195.235.96.90 (el secundario de Terra) no lo es.

En Linux, se haría de forma similar, con el comando dig (hay que instalar el paquete bind-utils):

dig +short [@servidor] porttest.dns-oarc.net txt

Un resultado tendría este aspecto:

carlos@weisman:~$ dig +short @195.235.96.90 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
«213.4.132.60 is POOR: 26 queries in 4.9 seconds from 1 ports with std dev 0.00»

Lo que queremos es usar unos servidores DNS cuya respuesta sea «GOOD».

¿Qué puedo hacer yo?

Habida cuenta de que los proveedores españoles no parecen ponerse las pilas, bien podemos usar el primario de Terra (195.235.113.3) o podemos usar los DNS de OpenDNS, que son:

Primario: 208.67.222.222
Secundario: 208.67.220.220

Yo ya me los he aprendido de memoria por si las moscas 🙂

Me he perdido, ¿cómo cambio los DNS?

Para cambiarlas en Windows, como se explica en el Wiki de Bandaancha, cómo elegir las DNS:

  1. Ve a Panel de control > Conexiones de red
  2. Abre la conexión de red que quieras modificar (inalámbrica o cable de red)
  3. Botón Propiedades
  4. En el cuadro «Esta conexión utiliza los siguientes elementos:» hay varias opciones. Abajo del todo, está «Internet Protocol (TCP/IP)». Haz doble clic sobre ella.
  5. Selecciona ‘Usar las siguientes DNS’ e introduce las que he puesto más arriba.
  6. Aceptar

Debería quedar algo parecido a lo que aparece en la siguiente captura de pantalla (clic para verla en grande):

Cambiar las DNS en Windows

En Linux, hay que editar el archivo /etc/resolv.conf. Pero cuidado, porque puede ocurrir que nuestra distribución los cambie cada vez que habilite la interfaz de red. Casi lo mejor es cambiarlos en el router, y usar por defecto el router como servidor DNS. En OpenDNS > Get Started tienen una guía para hacerlo.

Me ha quedado bastante largo, pero espero que esté todo claro 🙂

Share

Pakistán censura YouTube… en todo el mundo

Posted on por

Technorati Tags: , , , ,

A lo mejor algunos notásteis una caída de YouTube el domingo. ¿Qué pasó? ¿Problemas con el pago del dominio? ¿Demasiado tráfico? ¿Un RAID roto? ¿Un DDoS? Casi lo último.

Ingredientes para un DoS mundial a YouTube:

  • Un gobierno islamista. Pakistán, por ejemplo.
  • Una web que aloja vídeos. Así, a bote pronto, YouTube.
  • Unos vídeos «blasfemos» que les sirvan al citado gobierno como excusa. Sketches de Mahoma pueden ser buenos candidatos.
  • Un AS que controle dicho gobierno.
  • Tener los huevos suficientes para hacer que el AS anterior sea autoridad para el rango de direcciones IP de la web que aloja vídeos.

Pues sí, señoras y señores, el gobierno pakistaní decidió bloquear YouTube en todo Pakistán, a causa de las manidas caricaturas de Mahoma, y no tuvo otra idea que configurar su AS con un par de cojones y metió en las tablas de BGP entradas que autoasignaban a dicho AS como autoridad para el rango de direcciones IP de YouTube.

Visto queda que la censura no es buena, como ya sabíamos. Pero ahora también hemos visto lo fácil que resulta sacar de Internet a una empresa (al menos durante unas horas) sin necesidad de tener una botnet.

Share

La red eduroam

Posted on por

Technorati Tags: , , ,

La red eduroam es un proyecto para crear un espacio único Wifi que permita a los usuarios de las instituciones asociadas (alumnos, personal docente, etc.) el acceso a Internet cuando se desplazan a otra institución asociada.

Esta red en principio engloba a universidades de toda España, si bien no todas aparecen en el mapa. Pero, de las que aparecen, no todas disponen del servicio totalmente operativo. Es el caso de las Universidades de Málaga y de Cantabria, aunque ambas anuncian en sus webs que sí funciona. El Servicio Central de Informática de la UMA tienen un poco de información al respecto, mientras que en la web de la Universidad de Cantabria tienen una guía para configurar el acceso. También en la Universidad Autónoma de Madrid tienen datos para configurar el acceso a la red inalámbrica.

Pues bien, de esas tres universidades, mi acceso sólo funciona en una de ellas. Y lo más triste de todo es que ni siquiera funciona en la que estoy matriculado, en la de Málaga. Sólo me funciona en la Universidad Autónoma de Madrid, donde lo único que tuve que hacer fue seguir las instrucciones en Windows y configurar el wpa-supplicant en Linux. En la Universidad de Cantabria pregunté y no supieron decirme, ni se atrevieron a decir abiertamente que el sistema no está desplegado del todo, como me comentaron unos alumnos de aquí.

En ninguna de las dos redes me llega a dar dirección IP, se queda después de la autenticación, por lo que el problema no es de mi configuración.

Curiosamente, ambas redes aparecen como operativas en el estado de la jerarquía RADIUS, así que creo que sólo falta que alguien toque la tecla correcta.

Share

Magic numbers

Posted on por

Technorati Tags: , , , ,

Es sólo una secuencia hexadecimal, 09:F9:11:02:9D:74:E3:5B:D8:41:56:C5:63:56:88:C0, pero de suma importancia ya que es la clave de cifrado de los HD-DVD, y parece que algunos, amparados en la DMCA, pretenden censurar.

Concretamente, el usuario que hizo el envío a Digg del primer artículo referente al numerito de marras, vió cómo borraban su envío y su cuenta, por «abuso». En Digg se explican, argumentando que no quieren verse metidos en líos de demandas y tal. Yo eso lo entiendo, lo que no me parecen correctas son las formas.

Pues han conseguido el efecto contrario, ya que se está extendiendo por toda la red, y ya tienen hasta un vídeo en Youtube.

Se hacen eco en Barrapunto, en Slashdot, también habla de ello Enrique Dans y lo que queda.

Actualización: cuentan en el blog de Digg que es mejor morir de pie que vivir de rodillas, de manera que tras recibir un primer cease and desist, habían borrado todas las historias que hablaban del numerito de marras, pero después de asistir a una reacción masiva de los usuarios de Digg, han decidido que es mejor no plegarse a los deseos de las multinacionales. Enhorabuena por Digg, y mucha suerte, porque tal y como están las cosas por aquellas tierras, les pueden llover de todos lados.

Share