La Agencia de Seguridad Nacional (NSA) estadounidense estaría usando el sistema de nombres de dominio
(DNS) para la monitorización de sitios web, según desvela una nueva
remesa de documentos secretos publicados por el semanario alemán Heise.
La NSA habría descubierto originales usos para el sistema DNS,
diferentes de para el que fue creado, como indagar si sitios web siguen
en pie después de haberlos bombardeado. Original donde los haya.
La Marea ha tenido acceso a esta información a través de AWP y Fíltrala, la plataforma de filtración de documentos secretos en la que también participan eldiario.es, Diagonal y Mongolia.
Morecowbell es el nombre en clave de este programa de la NSA, cuya
misión sería espiar el estado de objetivos concretos en la web mediante
un entramado de bots que lanzarían solicitudes DNS y HTTP, como
si fuesen navegadores normales y corrientes. La información que
recabarían serviría para saber si la web-objetivo está funcionando o
está caída y si su información DNS ha cambiado.
El Sistema de Nombres de Dominio cumple una función crucial en Internet: “Traduce” los nombres de dominio, como lamarea.com,
a direcciones IP y al revés. Es un traductor humano-máquina. Las
máquinas se identifican por ristras de números que son su “matrícula”,
su dirección IP. Cuando la máquina 172.18.5.6 quiere visitar a la
214.565.15.33 no tiene problema en localizarla, pero si se le ordena ir a
www.lamarea.com,
no entiende nada. Y al revés: sería un problema si los humanos
debiésemos escribir en nuestro navegador las direcciones IP de los
sitios que visitamos.
Así, cuando queremos ir a www.lamarea.com,
el navegador pregunta al servidor DNS más próximo qué dirección IP se
corresponde con este nombre de dominio. Los servidores DNS albergan
largas listas con las equivalencias nombres de dominio = dirección IP.
Los bots de Morecowbell actúan como si fuesen navegadores que
buscan un dominio. Y el servidor DNS les da la dirección IP asociada al
dominio. Pura rutina.
Según los documentos filtrados, Morecowbell estaría espiando miles de
sitios en tiempo real. Usaría la infraestructura del sistema
Packagedgoods que, según el diario alemán Der Spiegel, tiene
servidores en al menos 13 países. Además, Morecowbell cuenta con sus
propias máquinas, alquiladas en Malasia, Alemania y Dinamarca. Los bots hacen
sus peticiones a servidores DNS abiertos, que no limitan los dominios o
direcciones IP que pueden resolver, y realizan miles de búsquedas cada
hora. Los datos se mandan a la NSA cada 15-30 minutos.
El programa Morecowbell se habría creado para monitorizar, según la
documentación que ha llegado a nuestras manos, “webs de gobiernos
extranjeros, foros en la web de terroristas y extremistas, dominios
usados por virus o para comprobar que están funcionando las webs del
gobierno norteamericano”. Se entiende que estos “buenos usos” justifican
ante el gobierno de Estados Unidos la existencia del programa.
Otro “buen uso” de Morecowbell sería, según la NSA, la “Indicación de
Daños de Batalla”, en el contexto de “Ataques a Redes de Ordenadores”.
Estos ataques serían desde bombardeos de Denegación Distribuida de Servicio
hasta sabotajes como la destrucción de cables. Los atacantes podrían
saber si el ataque ha tenido éxito gracias a Morecowbell, que les
informa de si el sitio atacado sigue en pie o ha caído. También si ha
cambiado de dirección IP para esquivar el ataque.
Morecowbell es un programa de “apoyo a operaciones”, lo que significa
que puede tener más usos de los que se detallan en la documentación y
dar cobertura a otros ataques, como los proyectos Quantumtheory de la
NSA, que inyectan respuestas falsas a los servidores DNS para hacer que
una víctima que pida a su navegador visitar www.objetivo.com, acabe sin saberlo en www.trampa.com.
También es posible crear perfiles de navegación de usuarios para
ataques muy concretos, por ejemplo introducir código malicioso en sitios
que la víctima visite de forma rutinaria. Otro programa de la NSA,
Quantumbot, usaría Morecowbell para monitorizar botnets basadas en IRC y detectar qué ordenadores funcionan como centros de control, pudiendo así capturarlos y secuestrar la botnet.
Al ser la infraestructura de Morecowbell distribuida y camuflada, las
víctimas no saben desde dónde se las espía y no pueden esquivarlo.
Además, la nula seguridad del Sistema de Nombres de Dominio permite que
este tipo de operaciones puedan hacerse con poco esfuerzo. Desde hace
años hay en marcha diversas iniciativas para hacer el sistema DNS más
seguro, pero de momento es un objetivo prácticamente imposible, dada la
dificultad de que todas las máquinas de Internet se actualicen a un
nuevo sistema.
De momento, la iniciativa más exitosa es DNSSEC,
que usa cifrado para que nadie pueda intoxicar nuestros servidores DNS
más cercanos y llevarnos a un sitio diferente del que hemos tecleado en
nuestro navegador. Francia, Alemania y Holanda ya lo han implantado en
sus dominios territoriales. España lo ponía en marcha en julio del año
pasado, pero ningún registrador del dominio .ES lo ofrece aún. Según nos
cuenta José Eleuterio López, del Departamento de Registro de Dominios
“.es”, el problema de la nula implantación del protocolo seguro DNSSEC
en los dominios .ES es el “bajo nivel de demanda”.
Mercè Molist
Tomado de http://www.lamarea.com
No hay comentarios:
Publicar un comentario