Ataque DNS Spoofing |
Sería interesante saber a que páginas web está accediendo tu vecino, tu pareja, tu hij@ o tu empleado en horas de ocio (o quizás en horas de trabajo).
Mas interesante sería si pudiéramos hacerlo sin necesidad de tener su ordenador, su clave o incluso sin estar en la misma red.
¿Y si os dijera que es posible? ¿Y si os dijera que encima no hace falta "vulnerar" ninguna seguridad?
No me creeríais sin verlo ¿Verdad? ¿Hacemos una prueba?
¿En que consiste la prueba? ¿Cómo funcionan brevemente los servidores DNS?
Antes de empezar con la prueba, tenemos que entender en que consiste el "ataque" y como se obra el "milagro".Las DNS son direcciones IP que están "camufladas" por nombres (HOST) y que se utilizan para conectar a otra máquina o servidor sin conocer el número IP que lleva dicha máquina o servidor.
Explicación del proceso que vamos hacer:
Leyenda: 1 = Atacante (Yo) | 2 = Servidor DNS | 3 = Cliente (Vecino, pareja, empleado...).
Como no tenemos el dispositivo de esta persona en nuestras manos, tiraremos a preguntarle al servidor DNS (2) de la empresa desde donde se está conectando dicha persona (3) ya que estoy seguro de que la memoria caché no la han borrado y el CPU de dicho servidor DNS (2) tendrás las direcciones web almacenadas en su memoria.
Un ejemplo:
Juan (3) entra en Google Chrome y escribe la web www.google.com. Mientras espera a que cargue la web su servidor DNS (2) hace una consulta al servidor DNS de google.com y este la responde con la dirección IP, ahora el servidor DNS (2) de su empresa le pasa la dirección IP al Google Chrome de Juan (2), y este ya puede visualizar la página web.
Para preguntarle al servidor sólo debemos de preguntarle si tiene en su memoria caché la siguiente web.
Ej. www.google.com. En este caso el servidor nos devolverá un "True" porque Juan ha visitado la web y su servidor la ha guardado en su memoria por si Juan quisiera entrar de nuevo al sitio, ya tendría la IP y conectaría mas rápidamente. En caso de que la dirección web no se encuentra en su memoría nos devolvería un "False".
Ejemplo afirmativo:
Juan escribe en su navegador web www.google.com -> DNS hace su petición y se la devuelve, guarda dicha petición en su caché -> Juan está visualizando la web.
Atacante (1) le pregunta el servidor DNS (2) si tiene en su memoria la siguiente web www.google.com y su servidor responde TRUE (SI).
Ejemplo negativo:
Juan escribe en su navegador web www.google.com -> DNS hace su petición y se la devuelve, guarda dicha petición en su caché -> Juan está visualizando la web.
Atacante (1) le pregunta al servidor DNS (2) si tiene en su memoria la siguiente web www.bing.com y su servidor responde FALSE (NO).
Se entiende ¿No? Podemos preguntarle al servidor si tiene en su memoria caché una web que le digamos y él nos responderá con si o con no.
Para que me entendáis, vamos a jugar al "¿Quién es Quién?" (¿Es rubio? ¿Lleva gorra? jejeje)
Creo que ya es hora de dejar la teoría y hacer algo práctico.
Luces, cámaras y acción!
Vamos a preguntarle al servidor DNS de alguna empresa conocida por las direcciones web que han visitado sus empleados.Tengo una lista con unas 500 direcciones web mas visitadas según Alexa (Si! también hay porno).
Le vamos a preguntar al servidor DNS de MRW si tiene algunas de estas 500 paginas web en su memoria caché.
Os lo pongo en varios fotos, ya que la lista es algo "extensa".
Pues nada, si observamos la primera foto ya empezamos a ver las direcciones webs, tenemos a Taringa por lo que alguno estaría buscando algo para descargar, también tenemos Youtube, posiblemente algún vídeo que le hará falta en su trabajo, otro usuario se conecto a Netflix por lo que al igual alguna serie estaría viendo en horas de trabajo (diablillo!).
Ya empieza a parecer Twitter, tenemos Ikea la hostia!, alguien que se está mirando algún mueble...
También se encuentra Marca es bueno saber que la empresa cuenta con gente deportistas y que quieren estar actualizados en el deporte. También aparece Apple por lo que nos hace suponer que los salarios en la empresa también son buenos y llegan para comprar iPhones/iPad.
Ahí vemos un gran fallo de seguridad ya que en la lista tenemos a Paypal por lo que alguien ha utilizado su cuenta para pagar desde un dispositivo de la empresa y no el suyo personal (Muy mal!). También vemos a Mediafire eso eso, que no falte el warez y para rematar vemos a Mybrowserbar una barra de malware, por lo que ya nos hace suponer que usan Windows y encima tienen el dispositivo infectado.
La lista continua, pero creo que ya es suficiente la gran información que dispone la memoria caché de un servidor DNS.
Menos mal que esto no os puede pasar a vosotros, ya que seguro que borráis la memoria caché de vuestro navegador web y los temporales de vuestro equipo antes de apagarlo. ¿A que sí?