La NSA alerta sobre los peligros de DNS sobre HTTPS (DoH)

El pasado mes de junio, la agencia de seguridad nacional estadounidense (NSA) presentó un programa piloto de un DNS “seguro” dirigido a proveedores / subcontratistas de defensa estadounidenses con el fin de mejorar su ciberseguridad.

En su momento, Anne Neuberger, directora de la NSA explicó que esta iniciativa era el resultado de un análisis que mostró que el uso de un DNS seguro reduciría en un 92% la capacidad de ataques de malware utilizando servidores de comando y control.

Como continuación de este proyecto, la NSA acaba de publicar una alerta sobre el protocolo DoH [Sistema de nombres de dominio (DNS) sobre el protocolo de transferencia de hipertexto sobre la seguridad de la capa de transporte (HTTPS)] con el objetivo de aumentar la privacidad y la seguridad mediante el uso de HTTPS para cifrar datos entre el cliente DoH y el sistema de resolución de DNS basado en DoH.

En esta alerta, la NSA advierte que los atacantes pueden abusar del DoH si no se implementa correctamente en las empresas. Por lo tanto, para las redes corporativas, la NSA recomienda utilizar únicamente resolutores DNS designados, ya sea un servidor DNS corporativo o un servicio alojado externamente.

Según Clément Marcelot, arquitecto de soluciones de Infoblox, especialista en gestión de redes: “Los DNS se diseñaron para garantizar la privacidad de los usuarios consumidores en Internet no para servir a entornos corporativos de TI, ya que la confidencialidad de las transferencias de datos generalmente no es una prioridad”. Por este motivo advierte de que, “para implementar o autorizar DoH y DoT, se debe conocer las diferencias que existen entre ambas tecnologías y dar preferencia, si es posible a DoT”

¿Por qué? Pues porque como apuntaba DoT funciona a nivel de sistema operativo, lo que puede garantizar un comportamiento y control idénticos para todas las aplicaciones y servicios que se ejecutan en el terminal, mientras que DoH funciona a nivel de aplicación, lo que significa que cada aplicación (incluido el malware) pueden tener un comportamiento de DoH diferente.

No olvidemos que “algunos programas maliciosos ya utilizan DoH como mecanismo de comando y control” advierte Marcelot. Esto se debe a que algunos servicios de DoH no tienen un control estricto sobre su uso, por ejemplo, no imponen sistemáticamente el uso del campo MIME, que algunos firewalls intentan utilizar para bloquear el tráfico no deseado del DoH”.

La entrada La NSA alerta sobre los peligros de DNS sobre HTTPS (DoH) aparece primero en Globb Security.