Enviado por D1nam0 el Sáb, 21/04/2018 - 00:26
29

Global Cyber ​​Alliance (GCA), una organización fundada por organizaciones policiales y de investigación para ayudar a reducir el delito cibernético, se ha asociado con IBM y Packet Clearing House para lanzar un sistema público gratuito de servicio de nombres de dominio. El objetivo de este sistema es bloquear los dominios asociados con botnets, ataques de phishing y otros host maliciosos de Internet, principalmente dirigidos a organizaciones que no ejecutan sus propios servicios de listas blancas DNS y de listas blancas.

Llamado Quad9 (después de la dirección de Protocolo de Internet 9.9.9.9 que el servicio ha obtenido), el servicio funciona como cualquier otro servidor DNS público (como Google), excepto que no devolverá las resoluciones de nombre para los sitios que se identifican a través de amenazas. servicios agregados diariamente "Cualquiera en cualquier lugar puede usarlo", dijo Phil Rettinger, presidente y director de operaciones de GCA, en una entrevista con Ars. El servicio, dice, será "confidencial", sin registrar las direcciones que realizan las solicitudes de DNS: "guardaremos solo datos de geolocalización [aproximada]", dijo, con el objetivo de rastrear la propagación de solicitudes asociadas con solicitudes particulares. dominios maliciosos. "Estamos anonimizando los datos, sacrificando el lado de la privacidad". La inteligencia en dominios maliciosos proviene de 19 amenazas, una de las cuales es X-Force de IBM. Adnan Baykal, Asesor Técnico Principal de GCA, le dijo a Ars que el servicio extrae estos feeds de amenazas en cualquier formato en el que se publiquen, y los convierte en una base de datos que luego se duplica. Quad9 también genera una lista blanca de dominios que nunca se bloqueará; usa una lista de los principales dominios solicitados de un millón.

Durante el desarrollo, Quad9 usó Alexa, pero ahora que la lista de los mejores millones de sitios de Alexa ya no se mantiene, Baykal dijo que GCA y sus socios tuvieron que recurrir a una fuente alternativa para los datos. También hay una "lista de oro": dominios que nunca deberían bloquearse, como los principales sitios de servicios de Internet, como la nube Azure de Microsoft, Google y los servicios web de Amazon. "Nos damos cuenta de que docs.google.com está organizando ataques de phishing", dijo Baykal. "Pero como se trata de un filtrado de DNS, no podemos bloquear esa URL específicamente. Y no queremos bloquear Google por completo". Los sitios bloqueados, la lista blanca y las listas de oro se convierten luego en un formato de Zona de política de respuesta (RPZ) antes de ser enviados a los clústeres de servidores DNS en todo el mundo mantenidos por Packet Clearing House mediante transferencias de zona DNS. Los clústeres de servidores DNS, que tienen un equilibrio de carga con dnsdist, usan una combinación de servidores Unbound y PowerDNS para entregar respuestas. "Estamos ejecutando dos variantes diferentes detrás de un equilibrador de carga", dijo Baykal, "de modo que si hay un problema con uno, podemos eliminarlo, o si hay una vulnerabilidad crítica, podemos cerrar uno y aplicarle un parche". A partir de su lanzamiento, había grupos de servidores DNS configurados en 70 ubicaciones diferentes en todo el mundo; Baykal dijo que la organización espera tener 100 sitios en funcionamiento antes de fin de año. Cada clúster tiene al menos tres servidores, explicó Baykal, "y en algunas áreas críticas, como Chicago, tenemos cinco, siete o nueve sistemas detrás del equilibrador de carga".

Cada instancia se ejecuta en una máquina virtual, por lo que se pueden aprovisionar servidores adicionales en la infraestructura de Packet Clearing House, según sea necesario. De todos modos, las velocidades de respuesta de DNS serán lo suficientemente rápidas para que la gran mayoría de los usuarios no noten la diferencia. Si un nombre de dominio está en la lista de bloqueo, el servicio simplemente responde a la consulta con un mensaje "NXDOMAIN" (dominio inexistente). "Romperá las consultas DNS", dijo Rettinger, "pero tiende a funcionar mejor que sumirse en el abismo" -la práctica de reenviar dominios defectuosos a un host controlado por el servicio, como se ha hecho con algunos dominios botnet incautados en el pasado- "porque si te hundes, puedes romper otras cosas".

Dado que las amenazas se actualizarán una o dos veces al día en todo el mundo, es probable que Quad9 no tenga mucho impacto en el malware que usa direcciones DNS que cambian rápidamente para comando y control. Sin embargo, ofrece un nivel básico de protección contra los ataques de phishing que suplantan el dominio y otros ataques basados ​​en la Web que han sido recogidos por los principales feeds de amenazas. Y las organizaciones pueden registrar con bastante facilidad las respuestas de Quad9 para identificar sistemas en sus propias redes que pueden tener malware o podrían haber sido atacados por ataques de phishing al ingresar las respuestas de NXDOMAIN.



El servicio Quad9 es gratuito, pero necesita ser financiado continuamente. GCA es una organización sin fines de lucro, por lo que el crecimiento a largo plazo del servicio se basa principalmente en que el gobierno y la industria sigan financiándolo. GCA fue financiado inicialmente con $ 25 millones en decomiso de activos criminales dirigidos a la organización por el fiscal de distrito de Manhattan Cyrus Vance Jr. Rettinger dijo que GCA está hablando con otros proveedores principales de DNS sobre cómo pueden replicar el servicio de Quad9, sin embargo, existe la posibilidad de GCA puede ser absorbido por la gran infraestructura de Internet.

 

Acerca del autor

Sociólogo de profesión y un fiel militante en tecnologías de la privacidad, también editor en la wiki de "Archlinux", el blog "El Binario" y para el portal "Security Hack Labs", me puedes contactar en Telegram como @D1nam0 o bien por mail d1nam0@cryptolab.net