El gobierno de Estados Unidos está solicitando comentarios sobre una manera de hacer que el sistema de direccionamiento de Internet sea menos susceptible a la manipulación de los hackers.
El gobierno estadounidense está solicitando datos sobre una manera de hacer que el sistema de direccionamiento de Internet sea menos susceptible a ser falsificados por los hackers.
Bajo esa idea, los registros en la zona raíz del DNS (Domain Name System o sistema de nombre de dominio) estarían firmados criptográficamente usando DNSSEC (Domain Name and Addressing System Security Extensions o extensiones del sistema de seguridad de nombre de dominio y direccionamiento), un conjunto de protocolos que permite a los registros de DNS llevar una forma digital.
El Departamento de Comercio estadounidense está pidiendo comentarios hasta el 24 de noviembre sobre cuál sería la mejor manera de utilizar el DNSSEC.
La zona raíz es la lista maestra de dónde las computadoras pueden ir a buscar una dirección en un dominio particular, como “.com”. El DNS traduce los nombres de sitios Web, como www.idg.com en un IP (protocolo de Internet) numérico, que es usado por las computadoras para encontrar un sitio Web.
Pero varios problemas de seguridad dentro del DNS hacen que sea posible para los hackers sustituir una dirección IP diferente para un sitio Web. Eso quiere decir que un usuario piensa que está viendo “www.idg.com”, pero en verdad está en un sitio de phishing.
La más seria de estas vulnerabilidades del DNS fue revelada en julio por el investigador de seguridad Dan Kaminsky. Casi todo el software DNS es vulnerable al ataque. Los grandes vendedores han empleado parches temporales, pero buscan un arreglo permanente.
Durante años, los expertos en seguridad han abogado por la adopción del DNSSEC, pero su implementación ha sido dispareja. El gobierno estadounidense dijo que usaría el DNSSEC para su dominio “.gov”. Otros operadores ccTLD (country-code Top-Level Domains o dominios de rango mayor de códigos de países) en Suecia (.se), Brasil (.br), Puerto Rico (.pr) y Bulgaria (.bg) también están usando DNSSEC. El operador TLD del dominio “.org” también se ha comprometido con el sistema, de acuerdo con el Departamento de Comercio estadounidense.
Pero para obtener todos los beneficios del DNSSEC se requiere de secretarios de nombres de dominio, registros de nombre de dominio, ISP (Internet Service Providers o proveedores de servicio de Internet) y que otros actualicen su software. Los sistemas de los usuarios también deberían ser configurados para verificar las firmas digitales.
“La zona raíz firmada por el DNSSEC representaría uno de los cambios más significativos a la infraestructura DNS desde que fue creada”, de acuerdo a una nota publicada por el Departamento de Comercio estadounidense en el Registro Federal, un boletín diario de noticias del gobierno estadounidense.
Implementar el DNSSEC también introduciría nuevos pasos sobre cómo son publicados los cambios en la zona raíz. En la actualidad, los operadores TLD envían los cambios a la Autoridad de Números Asignados de Internet, que es parte de la Corporación de Internet para los Números y Nombres Asignados (ICANN). ICANN después envía los cambios a la Administración Nacional de Telecomunicaciones e Información estadounidense, que es parte del Departamento de Comercio. Después de ser aprobado, Verisign –una compañía comercial—modifica los archivos raíz y los envía a los operadores de los 13 servidores raíz alrededor del mundo.
La profunda participación del gobierno estadounidense, así como de los intereses de Verisign, en cómo es administrado el sistema de direccionamiento de Internet ha provocado críticas sobre cómo el proceso está muy centrado en Estados Unidos.
Y parece estar gestándose una batalla sobre cuál entidad manejará las llaves criptográficas requeridas para firmar el archivo de la zona raíz.
ICANN ha enviado una propuesta abogando que debería ser esta institución la que tenga las llaves. ICANN dijo que son un organismo sin fines de lucro, una organización transparente “no sometida a consideraciones de ganancias y pérdidas basadas en el mercado”.
VeriSing argumentó en su propuesta que debería poder tener un tipo de llave necesaria para el proceso de firma, y que el otro tipo debería dividirse entre otras entidades.
Por Jeremy Kirk
IDG News Service (Agencia de Londres)