Artículos

Nueva documentación de Snowden: la NSA vigila los cambios en servidores de internet – diario Turing, España

Captura de pantalla del documento de la presentación del programa MORECOWBELL de la NSA

  • La agencia norteamericana tiene un sistema que monitoriza permanentemente determinados sitios webs y guarda información de los cambios en el DNS y estado del servidor web
  • Según la documentación obtenida a través del buzón de filtrala.org, los datos que recoge, en principio, son públicos
  • Un análisis de Jacob Appelbaum, Laura Poitras y otros activistas sugiere que este sistema permite la localización potencial de servicios vulnerables como un primer paso para ataques posteriores

La Agencia Nacional de Seguridad de Estados Unidos (NSA)  monitoriza miles de sitios webs y sus datos DNS permanentemente, a través del programa MORECOWBELL, según hemos podido conocer por documentos revelados por Edward Snowden a los que eldiario.es tuvo acceso gracias a la colaboración de AWP y al buzón Fíltrala, que comparte con los medios La Marea, Diagonal y Mongolia.

En principio, los datos a los que accede la agencia de seguridad norteamericana no son de sesiones o datos de usuarios –como podrían ser los sitios webs que visita una IP determinada–, sino de registros de DNS y estado del servidor.

El DNS es un sistema distribuido que gestiona datos públicos y, por lo tanto, la monitorización de una red es algo que se realiza para conocer la disponibilidad de un sitio web y sus posibles vulnerabilidades. Según los documentos, el objetivo de la vigilancia de la NSA es almacenar la información de los DNS y el estado de los servidores. Hace seguimiento de la disponibilidad de miles de sitios webs, incluyendo los de la Administración norteamericana. Para evitar que su monitorización sea detectada, alquilan servidores en Alemania, Dinamarca y Malasia, y se aprovechan del sistema distribuido OpenDNS.

El documento de la NSA revelado por Snowden solo habla de servidores en estos tres estados, pero el análisis de Appelbaum, Poitras y compañía recuerda que el sistema de monitoreo PACKAGED GOODS, sobre el cual está construido MORECOWBELL, tiene servidores en al menos otros 13 países. Los datos recolectados vuelven a la NSA en intervalos de 15 a 30 minutos. Así, la NSA tiene una visión global del impacto en sus webs o en otras de una acción de ese tipo.

Las diapositivas de una presentación interna de la NSA, que hoy también se publican en el diario alemán Heise.de, están acompañadas por un análisis realizado por Jacob Appelbaum, Laura Poitras y otros activistas como Christian Grothoff, Matthias Sachs y Monika Ermert. En él describen técnicamente la forma en que la NSA monitoriza la web y los DNS, analizan alternativas para mejorar la seguridad de este protocolo y presentan una nueva, llamada el Sistema de Nombres GNU (The GNU Name System), en la que ellos se encuentran trabajando.

Captura de pantalla de una de las diapositivas del documento de la NSA que presenta el programa MORECOWBELL

Captura de pantalla de una de las diapositivas del documento de la NSA que presenta el programa MORECOWBELL.

Como se menciona en el análisis, para un atacante activo monitorizar el DNS le podría facilitar, en última instancia, la localización potencial de servicios vulnerables, lo cual es un primer paso para ataques “de día cero” (zero-day), actualmente disponibles de forma comercial. Los ataques de día cero se llaman así porque el programador tiene cero días para arreglar la vulnerabilidad antes de que sea utilizada para otros fines. Se han usado en ataques de alto nivel atribuidos a Gobiernos, incluidos los de Estados Unidos, Israel y China, y la información sobre ellos es considerada arma secreta por Gobiernos que llevan operaciones de ciberguerra.

Qué datos están recopilando

De las consultas que hacen al DNS pueden obtener, por ejemplo, la siguiente información, que no es secreta sino que está disponible públicamente:

  • La dirección IP de servidores webs.
  • De otros servicios de ese dominio.
  • Servidores de nombre de ese dominio.
  • Sus IP o qué servidor de nombre responde por él.
  • Cuáles son los servidores de correo electrónico de ese dominio.
  • Servidor que se utiliza y software que usa ese servidor.
  • Estadísticas de tiempo de conexión.
  • Sistema de cifrado que utiliza ese servidor.

Además, con la dirección IP pueden saber cuál es la empresa proveedora del alojamiento, el país y en muchos casos la localización bastante precisa de la ciudad o la zona donde está ubicado el servidor. Esta es la información que van almacenando para elaborar una base de datos con el historial de cada sitio web.

Otros problemas del DNS

Aunque los documentos del sistema MORECOWBELL no nos permiten hablar de espionaje a las consultas del DNS, la fragilidad de su diseño preocupa hace tiempo. El IETF (Internet Task Force), la organización que documenta los patrones DNS, se planteó la necesidad de reforzar su seguridad y su privacidad, y aunque hay consenso, sus integrantes no esperan que las soluciones industriales existentes cambien la situación en un futuro cercano.