No voy entrar en el debate de si debe llamarse DNS Hijacking o Domain Hijacking.
Considero que el DNS Hijacking se debería llamar al ataque sobre servidores DNS en si como servicio y su procesamiento de peticiones recibidas, algo que incluso algunos ISPs utilizan para introducirnos publicidad o redirigirnos a servicios personalizados o concertados con los originales.
Comenzaremos con conceptos básicos de este ataque que se está poniendo tan de moda entre los defacers (frente a la imposibilidad en un principio de comprometer los servidores en sí de su objetivo), de grupos como el KDSM Team, o incluso algunas de las últimas acciones de los ¿ya pasados de moda? Syrian Electronic Army.
Qué es el Domain Hijacking
En la mayoría de los casos en los que no se gestionan los registros DNS por el propio usuario, estos se delegan a empresas llamadas registradores sobre los cuales se contratan los nombres de dominio necesarios y se gestionan a través de su software o panel de control. El Domain Hijacking se conoce como al acceso no autorizado a la gestión de los registros de un dominio, modificando dichos registros para que se apunten a direcciones IP diferentes a los originales. Para el caso de lo ocurrido con Avira, WhatsApp y otros, se ha confirmado que el hack se ha realizado sobre el proveedor Network Solutions, el cual gestiona sus dominios, además de los de muchas más importantes compañías.
Quién se ve afectado/de quién es la responsabilidad
Este ataque afecta, obviamente, a los registradores de nombres los cuales ven comprometidas sus aplicaciones de gestión de nombres y registros de dominios, y por consecuencia, todos sus clientes. Hay dos casos, bien diferentes y que determinan el alcance del ataque y sus consecuencias:
* Si se consigue comprometer la aplicación de gestión de dominios por una vulnerabilidad en su software o en su procedimiento de actualización de servidores DNS, se comprometen todos.
* Si se consiguen obtener las credenciales de acceso al panel de gestión de dominios de un cliente en concreto, se comprometerán sus dominios y subdominios. Esta obtención de credenciales se puede realizar mediante ingeniería social, malware, campañas de phishing, acceso a la cuenta de e-mail utilizada al registrarse, etc. Así de simple.
La web parece modificada ¿han secuestrado el dominio?
Se puede utilizar cualquier herramienta de obtención de información sobre DNS y dominios para comprobar que la IP a la que se resuelve no corresponde con la original, o pertenece a un rango de direccionamiento IP sospechoso y no propio del dominio.
El impacto
Todos sabemos, sobretodo por las últimas noticias acerca de los compromisos a Leaseweb, AVG, Avira, así como las acciones realizadas por los SEA contra Twitter, The Hufington Post y demás, que lo que más llama la atención de estos ataques es que aparecen en los medios como modificaciones de la web, ya que estos grupos buscan sobretodo notoriedad. Pero parece que nadie se da cuenta en la gravedad que esto entraña en caso de caer en otro tipo de manos menos...propagandísticas. El comprometer un dominio puede suponer, a modo de ejemplo y si se prepara convenientemente, lo siguiente:
* Posibilidad de redireccionar todo correo electrónico dirigido @dominiocomprometido.com a servidores controlados por los atacantes.
* Creación de phishings de páginas supuestamente legítimas, pero que finalmente son controladas por usuarios ajenos (el usuario que navega a la web, sigue comprobando que el dominio es correcto, por lo que asume que es legítima)
* Imaginemos los dominios de AVG o AVIRA, si bajo sus dominios comprometidos tienen un servicio de actualizaciones para sus software antivirus, en actualizaciones.dominiocomprometido.com. Dicho subdominio podría prepararse para que al solicitarse el software realmente fuese un fichero binario malicioso. O directamente, la descarga de las versiones gratuitas de dicho software, se sustituyesen por otros ejecutables.
* Y un largo etcétera, mismas técnicas de post-explotación que afectarían a los usuarios que accediesen o utilizasen servicios en dichos dominios.
Como ves el impacto y el compromiso no se realiza sobre la empresa en si en la mayoría de los casos, si no contra su imagen pública (defaces) o contra los visitantes (¡¡nosotros!!).
Corrección inmediata, propagación lenta
Uno de los grandes inconvenientes que se encuentran en la recuperación ante un problema o incidente de seguridad que afecte al DNS es la propagación de las correcciones, debido al propio concepto de DNS y su arquitectura de Internet. Si bien las empresas como leaseweb detectaron el problema rápidamente y pudieron recuperar sus registros DNS originales, muchos servidores DNS dónde se queda establecida la versión anterior envenenada tardaron en actualizar, de ahí que la corrección sea progresiva.
Resumiendo
Una web o webs afectadas por un secuestro de dominio no implica un robo de datos de usuarios y un compromiso de sus servidores. Por lo tanto, recomiendo huir de titulares tipo "XXX Team hackea YYYY" y utilizar en su lugar "XXX Team hackea ZZZZ, empresa encargada de gestionar los dominios de YYYY", más que nada para no liar al personal.
Si queréis conocer todos los entresijos, peligros, amenazas, recomendaciones y demás temas a tener en cuenta acerca del secuestro de dominios o Domain Hijacking, os recomiendo este genial informe en PDF de la ICANN, publicado en 2005 por parte del Security and Stability Advisory Committee (SSAC).