Parece ser que se ha filtrado información concreta acerca de la vulnerabilidad en los servidores DNS, sobre la que ya hablábamos en días anteriores. Para los rezagados, aquí tenéis la explicación completa:
- Cómo de crítico era el fallo en los servidores DNS (I).
- Cómo de crítico era el fallo en los servidores DNS (II).
- Cómo de crítico era el fallo en los servidores DNS (III).
Dan Kaminsky, el descubridor de la vulnerabilidad, informó hace unas semanas a las grandes empresas del sector para que publicaran parches para sus servidores. En un principio, dio un plazo suficientemente amplio (hasta principios de agosto, tengo entendido) tras el cual haría públicos los detalles técnicos del problema. Presumiblemente, ese tiempo sería suficiente para que todos los administradores del mundo actualizaran sus servidores.
Prácticamente a las horas de descubrirse el fallo, las grandes empresas tenían preparados sus parches. Parecía fácil: los administradores sólo tenían que darle a «actualizar» en sus servidores y problema resuelto. Sin embargo, a día de hoy muchísimos DNS siguen sin estar actualizados. Los de Telefónica, aquí en España, sin ir más lejos. Y lo que es peor: se ha filtrado información técnica antes de tiempo y, aunque el artículo en cuestión fue borrado, sigue siendo accesible en la caché de Google y en Slashdot. Esto es una mala noticia, puesto que significa que hay más peligro de que alguien implemente un exploit y nos haga una de vaqueros…
Y Telefónica sin actualizar sus servidores; desconozco qué pasará con otros ISP. Kaminsky ha desarrollado una herramienta para comprobar si el servidor DNS que usamos es seguro o no. Podéis pasaros por allí y clickar en Check My DNS. Llevo unos días negro, enrabietado al comprobar que seguimos siendo vulnerables por la dejadez de Telefónica. ¿Viven al margen del mundo, o qué? ¿No se enteran?
En fin. Por el momento, creo que lo más sensato será cambiar de DNS, al menos hasta que amaine la tempestad. Que seguramente no pasará nada, pero por si acaso yo ya lo he hecho, y os recomiendo que también los cambiéis. La alternativa más fiable, a mi juicio, es OpenDNS, un servidor DNS internacional rápido, seguro y que pasa el test de la página de Kaminsky sin problemas (el propio Kaminsky lo recomienda). Y no pongáis esa cara, tranquilos, porque configurarlo es algo fácil y rápido. La página que os acabo de enlazar es más que nada de información, por si queréis echarle una ojeada, pero no es necesario. Tan sólo tenéis que seguir unos sencillos pasos en vuestro propio ordenador y navegaréis de manera más segura. A continuación os detallo los pasos para Windows y para Linux. Si utilizáis otros sistemas y no sabéis cómo hacerlo, entrad en la página de OpenDNS y allí encontraréis instrucciones.
Cambiar de DNS en Windows
Vais a Inicio > Panel de Control > Conexiones de red. Click derecho sobre la conexión que estéis utilizando para conectaros a Internet (Conexión de área local o Conexiones de red inalámbricas típicamente) y pinchad en Propiedades. Aparece un nuevo diálogo y bajo Esta conexión utiliza los siguientes elementos aparece una lista; pues bien, seleccionáis en ella el elemento que reza Protocolo Internet (TCP/IP) y pincháis en Propiedades.
En el nuevo cuadro de diálogo que aparece, probablemente tendréis seleccionada la opción Usar las siguientes direcciones de servidor DNS, y si no es así, la seleccionáis. Por último, en los campos Servidor DNS preferido y Servidor DNS alternativo escribís 208.67.222.222 y 208.67.220.220 respectivamente. Aceptar y Aceptar, y listo.
Cambiar de DNS en Linux
Tenéis que abrir como root el fichero /etc/resolv.conf con vuestro editor de texto favorito. Por ejemplo, introduciendo lo siguiente en la consola:
[code lang=»bash»]gedit /etc/resolv.conf[/code]
A continuación, editáis dicho archivo de manera que contenga lo siguiente:
[code lang=»bash»]nameserver 208.67.222.222
nameserver 208.67.220.220[/code]
Y por último, reiniciáis la interfaz de red (también como root) con los siguientes comandos:
[code lang=»bash»]ifconfig nombre_interfaz down
ifconfig nombre_interfaz up
route add default gw 192.168.1.1[/code]
Comprobar que el cambio se ha producido
Pinchad en este enlace para comprobar si el cambio se ha producido satisfactoriamente y efectivamente estáis usando los servidores de OpenDNS. En ese caso, podéis navegar tranquilos.
[…] PageRank: Estás utilizando:Rippers unknownBien! « Uso de OpenDNS, para mayor seguridad […]
[…] ello, seguid las instrucciones que ya publicamos en este blog y, en lugar de las IP de OpenDNS (recordad: 208.67.222.222 y 208.67.220.220), ahora […]
[…] la estela marcada por OpenDNS. De esta manera, disponemos de una alternativa más a la hora de configurar nuestros DNS que además es muy fácil de recordar: 8.8.8.8 y 8.8.4.4. La noticia ha sido acogida con entusiasmo […]
[…] la estela marcada por OpenDNS. De esta manera, disponemos de una alternativa más a la hora de configurar nuestros DNS que además es muy fácil de recordar: 8.8.8.8 y 8.8.4.4. La noticia ha sido acogida con entusiasmo […]