Un investigador de ciberseguridad se topó recientemente con una vulnerabilidad en Internet que le permitía rastrear el correo electrónico de las personas, ejecutar código en servidores e incluso falsificar certificados HTTPS; de hecho, le dio tantas opciones que se le ha descrito como si tuviera “superpoderes”.
La vulnerabilidad es bastante simple: un dominio caducado que sigue recibiendo pings de numerosos servidores. El dominio en cuestión es dotmobiregistry.net, que solía alojar el servidor WHOIS de .mobi.
Un servidor WHOIS proporciona información sobre los detalles de registro de los nombres de dominio y las direcciones IP. Forma parte del protocolo WHOIS, que se utiliza para consultar bases de datos que almacenan la información de propiedad y registro de los nombres de dominio y los recursos de red en Internet. Por otro lado, .mobi era un dominio de nivel superior (TLD) diseñado específicamente para sitios web destinados a ser accedidos a través de dispositivos móviles. Fue lanzado en 2006 y diseñado para garantizar que los sitios web alojados bajo este dominio estuvieran optimizados para su visualización en dispositivos móviles.
Mover el servidor WHOIS
En algún momento, y nadie parece saber cuándo ni por qué, el servidor WHOIS se trasladó de whois.dotmobiregistry.net a whois.nic.mobi. Cuando el director ejecutivo y fundador de la empresa de seguridad watchTowr, Benjamin Harris, descubrió esto, compró el dominio y lo utilizó para configurar un servidor WHOIS .mobi alternativo.
Durante los siguientes días, el doble de Harris recibió millones de consultas de cientos de miles de sistemas, incluidos registradores de dominiogobiernos, universidades y otros.
Esto le permitió, por ejemplo, dictar quién recibe los certificados TLS.
“Ahora que tenemos la capacidad de emitir un certificado TLS/SSL para un dominio .mobi, podemos, en teoría, hacer todo tipo de cosas horribles, desde interceptar el tráfico hasta suplantar la identidad del servidor de destino”, afirmó Harris en un informe técnico. “En este punto, se acabó todo tipo de modelos de amenaza. Aunque estamos seguros de que algunos pueden decir que no “probamos” que podíamos obtener el certificado, creemos que esto habría sido ir demasiado lejos, así que no importa”.
A través de Ars-Tecnica
