Seguridad del DNS

 

La seguridad del sistema de nombres de dominios (DNS, en sus siglas en inglés) está en las manos de João Damas. Y en las de 13 personas más. Son los encargados de mantener protegida la libreta de direcciones de Internet. Siete están en la costa este y siete, en la costa oeste de Estados Unidos.

La noticia en otros webs

La custodia está en EE UU, pero lo vigilan miembros de distintos países

"Dos veces al año nos reunimos al menos tres para abrir el cajetín"

Dan Kaminsky vio hace dos años que era fácil manipular el sistema

"Cada Estado debe cuidar sus servidores. España va retrasada"

Este consultor portugués de 43 años, afincado en Madrid, custodia una llave metálica. Con tres se abre una caja de seguridad en Los Ángeles que guarda una clave criptográfica. Esta clave garantiza que las direcciones que visitamos en Internet son auténticas y no han sido manipuladas, "porque firma digitalmente las bases de datos de los servidores principales del sistema". Otra copia idéntica se almacena en Washington y la protegen, entre otros, el padre de Internet, Vinton Cerf.

Los DNS son máquinas y protocolos que convierten los dominios en direcciones numéricas, comprensibles para los ordenadores. Su funcionamiento es jerárquico, empezando por el servidor DNS que tiene cualquier proveedor de Internet (ISP), hasta los 13 principales, los servidores raíz.

"En el sistema siempre hay unos servidores que preguntan y otros que contestan. Cuando escribes la dirección www.elpais.com el ordenador pedirá a los diferentes servidores DNS de la jerarquía cuál es la dirección IP de esa página hasta obtener la respuesta. Es lo que se conoce como resolución de nombres de dominio", explica este químico de formación que montó el primer servidor web en el departamento de Química de la Universidad Autónoma de Madrid en 1993.

Desde el año pasado el protocolo de seguridad DNSSEC identifica y valida las resoluciones de nombres en los servidores raíz garantizando que son auténticas. "DNSSEC utiliza claves criptográficas, de las cuales la de la raíz usa 2.048 bits y está en cajas de seguridad en Estados Unidos", dice Damas.

El sistema, definido hace una década por los expertos en seguridad, se empezó a implantar cuando el estadounidense Dan Kaminsky descubrió hace dos años que era muy fácil manipular el sistema. "Dan encontró una fórmula muy efectiva y de difícil detección para atacar cualquier servidor que realiza una petición. Es decir, que pregunta por un dirección IP. El error permitía engañar a esos servidores y llevar masivamente a los internautas hacia páginas maliciosas".

La protección de los servidores principales solo es el primer paso para evitar un hipotético ataque cibernético al DNS. "En Internet hay unos 200 millones de dominios y para que el protocolo sea eficiente requiere que cada uno de los servidores tenga su DNSSEC, sus claves criptográficas asociadas que garanticen que la resolución de ese dominio es realmente auténtica". Es decir, se debe implantar también en todos y cada uno de los servidores de la pirámide desplegados por el mundo. "El proceso, en marcha, está siendo gradual. Ya están firmados los de primer nivel .org y .net y, antes de que acabe marzo, se completará el .com. Cada país, por su lado, debe proteger los suyos. Suecia y Portugal ya han hecho los deberes, pero España va retrasada".

El agujero detectado por Kaminsky sirvió también para que Gobiernos y empresas vieran asomar las orejas del lobo y dejaran de discutir quién debía custodiar el protocolo diseñado años antes. "El DNSSEC valida como auténtica una determinada respuesta. En principio genera confianza. El problema era decidir quién lo guardaba, porque contiene la información para llegar a cualquier dominio". La comunidad no lo quería dejar en manos de un único país, Estados Unidos, porque les permitiría "borrar literalmente del mapa de la Red a otra nación, colectivo y hasta a un árbol de Internet". Cuando invadió Irak, el Gobierno de George W. Bush estudió la posibilidad de suprimir su dominio, aunque no la materializó.

Como todo aquello que afecta a la raíz del DNS debe recibir el plácet del Departamento de Comercio estadounidense, el llamado Gobierno de Internet, ICANN, propuso la descentralización de la custodia, dejándola en manos de personas de confianza de la comunidad internacional, a condición de que ambas copias idénticas se quedaran en territorio estadounidense y de que nunca tres ciudadanos de ese país pudieran abrir juntos una u otra de las dos cajas de seguridad que almacenan la clave. Damas tiene su propia empresa, Bondis.org, trabaja para Internet Systems Consortium, compañía que suministra software a los DNS, y lleva años en el registro regional de Internet que distribuye los dominios en Europa (RIPE).

Dos veces al año Damas viaja a Los Ángeles. "Nos reunimos al menos tres para abrir nuestro cajetín y sacar cada uno una tarjeta que, al colocarse en el equipo, firma la base de datos de los servidores raíz".

El protocolo también contempla que si los 14 custodios desaparecieran y hasta se volatilizaran los dos centros de datos donde está físicamente la clave, otras siete personas podrían liberar una nueva copia reuniendo sus respectivas tarjetas criptográficas. Es decir, en caso de desastre total se recuperaría la normalidad en la libreta de direcciones de Internet.


ssl_error_renegotiation_not_allowed

 

¿Por qué un sitio web me devuelve el error ssl_error_renegotiation_not_allowed cuando solicita unas credenciales PKI o un certificado?

Descripción del problema:

Tengo un sitio web con autentificación PKI y funciona correctamente con Firefox 3.xx pero cuando uso Firefox 4.xx Beta obtengo el error  "Renegotiation is not allowed on this SSL socket" y el código de error "ssl_error_renegotiation_not_allowed"

Solución:

Para habilitar la renegociación SSL se necesita modificar un parámetro del navegador. Escribiendo en la barra de direcciones about:config y tras confirmar que sabemos lo que queremos hacer... buscamos la siguiente directiva:

security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref

Y modificamos su valor por defecto a TRUE

Después de esto ya se podrá acceder al sitio web que daba el error.


Trucos de Chrome

 

Escribiendo lo siguiente en la barra de direcciones...

# about: muestra la información de la versión.
# about:version similar al anterior.
# about:cache muestra el contenido de la caché.
# about:plugins muestra información sobre los plugins instalados.
# about:memory muestra estadísticas de las webs y los plugins que consumen más memoria (se puede acceder también desde el administrador de tareas de Google Chrome).
# about:shorthang la pestaña se cuelga durante un instante.
# about:crash la pestaña se cuelga, mostrando el simpático icono de la pestaña triste que pudimos ver en el cómic de presentación de Google Chrome.
# about:internets huevo de pascua.
# about:dns información sobre las consultas a las DNS, como tiempo requerido para la consulta de cada dominio o la cantidad de tiempo que hace de la consulta.
# about:network herramientas para comprobar el rendimiento de la red.
# about:stats valores para variables internas del navegador. El subtitulo de la página es “Shhh! This page is secret!”
# about:histograms histogramas con los valores de distintas variables.

Y otros comandos que no son about:

* chrome-resource://about/ similar a about:
* chrome-resource://favicon/ muestra el favicon de la página actual como texto plano.
* chrome-resource://inspector/inspector.html muestra una ventana vacía del inspector (herramienta para inspeccionar elementos de páginas web. Haz clic sobre un área cualquiera de una web y selecciona    “Inspeccionar elemento”).
* chrome-resource://new-tab/ crea una nueva pestaña.
* chrome-resource://thumb/ muestra el thumbnail de la página actual como texto plano
* view-cache: similar a about:cache
# Crea accesos directos en tu escritorio, barra rápida o menú de inicio a algunas aplicaciones web como Gmail. Es muy fácil, basta con ir a Gmail.con y elegir en la esquina superior derecha la opción de ‘Crear accesos directos a aplicaciones…’ y elegir donde queremos colocar la aplicación. Es realmente útil con algunas herramientas de Google como Calendars o Documents, pero también funciona con otros servicios como Windows Live Hotmail.

# Control+Shift+N abre una ventana en modo incógnito, lo que nos permite que lo que allí hagamos no aparezca en el historial y las cookies sean borradas cuando cerremos la ventana.

# También se puede abrir directamente un link en modo incógnito pulsando el botón derecho del ratón y seleccionando ‘Abrir el enlace en una ventana de navegación de incógnito’.

# Alt + Inicio carga la página de inicio de Google Chrome, vamos en la que salen las miniaturas con tus sitios más visitados.

# Control + T abre una nueva pestaña. Las puedes arrastrar para cambiar el orden o simplemente moverlas fuera del navegador para que tengan su propia ventana.

# Control +Shift + T abre la última pestaña que hayamos cerrado. Vuelve a pulsar la combinación y abrirá la anterior. Chrome recuerda las 10 últimas pestañas que cerraste.

# Salta entre las diferentes pestañas pulsando Control + (número). El 9 te lleva a la última de todas.

# Control + Tabulador te permite ir saltando en orden entre tus pestañas abiertas.

# Contro + Shift + Tabulador hace lo mismo pero en orden inverso.

# Como en Firefox 3, puedes arrastrar un enlace a otra pestaña para que se abra allí, o bien moverlo entre dos pestañas para que se abra en una nueva pestaña entre ambas posiciones.

# Para añadir un sitio a tu lista de favoritos, sólo tienes que pinchar en la estrella situada a la izquierda de la barra de direcciones y elegir la carpeta en la que quieres guardarla.

# Control + B esconde la barra de marcadores de Google Chrome. Pulsa otra vez y volverá a aparecer.

# Botón derecho o mantén pulsado el botón de ‘volver atrás’ y aparecerá la lista de sitios que has visitado recientemente. ‘Mostrar el historial completo’ que aparece al final de la lista abre una nueva pestaña con toda la actividad del navegador.

# Control + H es una forma más rápida de sacar el Historial.

# Puedes borrar el historial de ciertos día bajando hasta el día deseado y pulsando en la parte derecha ‘Eliminar historial de este día’.

# Control + J saca la página de Descargas.

# Para borrar un objeto de tu página de descargas pulsa botón derecho y selecciona ‘Eliminar’. Desaparecerá de la lista pero no de la carpeta física donde se guardó.

# Pulsa Control + K o Control + E para buscar desde la barra de direcciones. Una vez presiones la combinación aparecerá un símbolo de interrogación y bastará con que escribamos después lo que queremos buscar.

# Botón derecho en la parte superior del navegador y selecciona ‘Administrador de tareas’ para ver cuanta memoria están usando cada una de las pestañas y de los plugins. Selecciona uno y pulsa ‘Finalizar proceso’ para cerrarlo.

# Shift + Escape es una manera más rápida de sacar el ‘Administrador de tareas’.

# Edita cualquier página web al vuelo. Botón derecho en la página, ‘Inspeccionar elemento’ y todo lo que editemos en el HTML lo veremos aplicado al momento.

# Para hacer Google Chrome tu navegador por defecto pulsa sobre el botón de herramientas (la llave inglesa de arriba a la derecha), selecciona ‘Opciones’ y pincha en la pestaña de ‘Básicas’ el botón que dice ‘Establecer Google Chrome como navegador predeterminado’.

# Para borrar las cookies hay que ir a Herramientas –> Opcines –> Avanzadas. Baja hasta la sección de ‘Seguridad’ y pulsa sobre ‘Mostrar cookies’. Ahora puedes ir borrando una a una o todas de golpe.

# Para borrar otros datos como el historial o el cache vuelve a ir a Herramientas y elige ‘Eliminar datos de navegación..’

# Si lo que se quiere es eliminar los sitios más visitados de la página de inicio de Google Chrome, basta con borrar la historia de navegación con el método anteriormente expuesto.

# La limpieza también provocará que no aparezcan las sugerencias de sitios visitados con anterioridad en la barra de direcciones