La NSA explota el vulnerable Sistema de Nombres de Dominio para sus tejemanejes

La Agencia de Seguridad Nacional (NSA) estadounidense estaría usando el sistema de nombres de dominio (DNS) para la monitorización de sitios web, según desvela una nueva remesa de documentos secretos publicados por el periódico francés Le Monde. La NSA habría descubierto originales usos para el sistema DNS, diferentes de para el que fue creado, como indagar si sitios web siguen en pie después de haberlos bombardeado. Original donde los haya.

La Marea ha tenido acceso a esta información a través de AWP y Fíltrala, la plataforma de filtración de documentos secretos en la que también participan eldiario.es, Diagonal y Mongolia.

Morecowbell es el nombre en clave de este programa de la NSA, cuya misión sería espiar el estado de objetivos concretos en la web mediante un entramado de bots que lanzarían solicitudes DNS y HTTP, como si fuesen navegadores normales y corrientes. La información que recabarían serviría para saber si la web-objetivo está funcionando o está caída y si su información DNS ha cambiado.

Para la realización de artículo, La Marea ha utilizado un analisis de Christian Grothoff, Matthias Wachs, Monika Ermer y Jacob Appelbaum como referencia técnica.

El Sistema de Nombres de Dominio cumple una función crucial en Internet: «Traduce» los nombres de dominio, como lamarea.com, a direcciones IP y al revés. Es un traductor humano-máquina. Las máquinas se identifican por ristras de números que son su «matrícula», su dirección IP. Cuando la máquina 172.18.5.6 quiere visitar a la 214.565.15.33 no tiene problema en localizarla, pero si se le ordena ir a www.lamarea.com, no entiende nada. Y al revés: sería un problema si los humanos debiésemos escribir en nuestro navegador las direcciones IP de los sitios que visitamos.

Así, cuando queremos ir a www.lamarea.com, el navegador pregunta al servidor DNS más próximo qué dirección IP se corresponde con este nombre de dominio. Los servidores DNS albergan largas listas con las equivalencias nombres de dominio = dirección IP. Los bots de Morecowbell actúan como si fuesen navegadores que buscan un dominio. Y el servidor DNS les da la dirección IP asociada al dominio. Pura rutina.

Según los documentos filtrados, Morecowbell estaría espiando miles de sitios en tiempo real. Usaría la infraestructura del sistema Packagedgoods que, según el diario alemán Der Spiegel, tiene servidores en al menos 13 países. Además, Morecowbell cuenta con sus propias máquinas, alquiladas en Malasia, Alemania y Dinamarca. Los bots hacen sus peticiones a servidores DNS abiertos, que no limitan los dominios o direcciones IP que pueden resolver, y realizan miles de búsquedas cada hora. Los datos se mandan a la NSA cada 15-30 minutos.

El programa Morecowbell se habría creado para monitorizar, según la documentación que ha llegado a nuestras manos, «webs de gobiernos extranjeros, foros en la web de terroristas y extremistas, dominios usados por virus o para comprobar que están funcionando las webs del gobierno norteamericano». Se entiende que estos «buenos usos» justifican ante el gobierno de Estados Unidos la existencia del programa.

Otro «buen uso» de Morecowbell sería, según la NSA, la «Indicación de Daños de Batalla», en el contexto de «Ataques a Redes de Ordenadores». Estos ataques serían desde bombardeos de Denegación Distribuida de Servicio hasta sabotajes como la destrucción de cables. Los atacantes podrían saber si el ataque ha tenido éxito gracias a Morecowbell, que les informa de si el sitio atacado sigue en pie o ha caído. También si ha cambiado de dirección IP para esquivar el ataque.

Morecowbell es un programa de «apoyo a operaciones», lo que significa que puede tener más usos de los que se detallan en la documentación y dar cobertura a otros ataques, como los proyectos Quantumtheory de la NSA, que inyectan respuestas falsas a los servidores DNS para hacer que una víctima que pida a su navegador visitar www.objetivo.com, acabe sin saberlo en www.trampa.com.

También es posible crear perfiles de navegación de usuarios para ataques muy concretos, por ejemplo introducir código malicioso en sitios que la víctima visite de forma rutinaria. Otro programa de la NSA, Quantumbot, usaría Morecowbell para monitorizar botnets basadas en IRC y detectar qué ordenadores funcionan como centros de control, pudiendo así capturarlos y secuestrar la botnet.

Al ser la infraestructura de Morecowbell distribuida y camuflada, las víctimas no saben desde dónde se las espía y no pueden esquivarlo. Además, la nula seguridad del Sistema de Nombres de Dominio permite que este tipo de operaciones puedan hacerse con poco esfuerzo. Desde hace años hay en marcha diversas iniciativas para hacer el sistema DNS más seguro, pero de momento es un objetivo prácticamente imposible, dada la dificultad de que todas las máquinas de Internet se actualicen a un nuevo sistema.

De momento, la iniciativa más exitosa es DNSSEC, que usa cifrado para que nadie pueda intoxicar nuestros servidores DNS más cercanos y llevarnos a un sitio diferente del que hemos tecleado en nuestro navegador. Francia, Alemania y Holanda ya lo han implantado en sus dominios territoriales. España lo ponía en marcha en julio del año pasado, pero aún hay pocos agentes registradores del dominio .ES que lo ofrezcan. Según nos cuenta José Eleuterio López, del Departamento de Registro de Dominios «.es», el problema de la limitada implantación del protocolo seguro DNSSEC en los dominios .ES es el «bajo nivel de demanda».

Actualizado el 27 de enero, alas 20 horas.