La ceremonia de las 7 llaves que custodian internet
7 son las notas musicales, 7 los colores del arcoiris, los días de la semana, los pecados capitales, los sacramentos y los cielos del Islam.
7 son las llaves y 7 sus portadores que, escogidos por el ICANN, guardan las claves de acceso al control de Internet.
3, y no 7, son las veces que los keyholders se reúnen cada año para iniciar la ceremonia. Una ceremonia que, lejos del misterio, se retransmite en streaming.
Hoy, en Loopeando.com, te traemos esta curiosa historia sobre cómo se protegen los niveles más altos de los DNS en Internet.
Pasa, disfruta, aprende y comparte.
Resumen de contenidos
El origen
Todos sabemos que al ser humano no se nos da nada bien memorizar series numéricas. Por el contrario, no nos requiere mucho esfuerzo recordar nombres o imágenes. Los ordenadores, sin embargo, funcionan en base a ellas. De echo, el único lenguaje que puede interpretar directamente un microprocesador, es el lenguaje máquina, y son ceros y unos.
Así que, en los orígenes de Internet, se creó un sistema que facilitara la vida a ambas partes, funcionando como traductor: Los DNS o Domain Name System.
Cuando escribo el nombre de una web, por ejemplo, loopeando.com, lo que en realidad estoy haciendo es acceder a un servidor cuyo identificador en la red es una ip numérica (31.24.154.120).
Si yo pongo esa ip en el navegador, accederé directamente a esta página, y lo mismo ocurre con el resto de webs que existen.
Pero para saber qué ip corresponde a cada web, hace falta un sistema de correspondencia, y dicho sistema debe almacenarse en algún lugar.
Al principio, ésto no suponía ningún problema, pues Internet estaba limitado a unos pocos con intereses científicos y académicos. Pero con el crecimiento de la red, ya sabemos que hoy día, hay miles de personas con mucho talento a las que les encantaría poder acceder a ese sistema y corromperlo, de manera tal que pudiesen redirigir el tráfico de millones de páginas webs a otras que suplanten su identidad para robar datos. A esta práctica se le conoce bajo el nombre de phishing, y es uno de los principales métodos de robo de datos bancarios vía email.
ICANN y los DNSSEC: La habitación de las 7 llaves
Con el paso de los años se han ido descubriendo vulnerabilidades en el clásico sistema DNS, y se ha hecho necesaria la creación de métodos de seguridad que lo hagan más robusto.
Ahora, para evitar que alguien intercepte una petición de acceso a una web y la redirija a otra con oscuras intenciones, se ha desarrollado un entramado de firmas digitales que comprueban que todo el proceso sea legítimo. A esta nueva metodología se le conoce bajo el nombre de DNSSEC (Extensiones de Seguridad del DNS).
¿Y la famosa habitación? Todas esas firmas digitales se encuentran almacenadas en una base de datos gestionada por la ICANN, a 10km de los Ángeles (California).
Para extremar la seguridad, se han designado a 7 personas y 7 suplentes de todo el mundo, que custodian las llaves físicas de acceso a sendas cajas fuertes, en el interior de las cuales están las tarjetas criptográficas con las que generar una nueva SKR (Signed Key Response).
La ceremonia
Comenzó a realizarse en 2010. Desde entonces, los portadores se reúnen cada 3 meses y generan nuevas claves: 2 veces al año en la sede de la costa Este de USA, y otras 2 en la costa Oeste, a 4.000km de la primera.
Uno de los padres de Internet, Vincent Cerf, explicaba así el ritual:
En el año 2014, un periodista de The Guardian tuvo acceso directo a la ceremonia, y contaba lo siguiente:
Los participantes pasan a través de una serie de puertas bloqueadas con códigos, escáneres de huella y de iris. Todas las puertas son cepos, de manera que hasta que no se cierra la anterior, no puede abrirse la siguiente.
La habitación que se haya al final, bloquea toda señal electromagnética del exterior, y es la que contiene el ordenador que cambia las claves.
Nadie, salvo los 7 portadores y sus suplentes, puede entrar ahí. De hecho, es uno de los portadores, la sueca Anne-Marie Eklund Löwinder, quien se encarga de quitar el polvo y dejar presentable la sala un día antes de la ceremonia.
Reportaje de The Guardian:
https://www.youtube.com/watch?v=LRAmeZCLBZE
En un ejercicio de transparencia, la ICANN retransmite en streaming todo el proceso. Podéis verlo a través del siguiente enlace:
https://icann.adobeconnect.com/kskceremony
La polémica
La gestión de los DNS está descentralizada. De hecho, hace unos meses se produjo un ataque a uno de los proveedores más importantes, Dyn.
Los atacantes no pudieron acceder ni manipular los registros, pero su ataque de Denegación de Servicio (DDoS), hizo que los servidores cayeran.
El resultado fue que, durante unas pocas horas, webs como Amazon, Twitter, Github y Spotify, quedaron inaccesibles.
Los DNSSEC están implantándose poco a poco en todo el mundo, y de hecho, son una necesidad reconocida. El problema es que centralizarlos en un solo organismo puede suponer una vulnerabilidad en sí misma. Si alguien repitiese el ataque de Dyn, pero contra el servidor del ICANN, los daños podrían ser muchísimo mayores.
Por otro lado, el ICANN es una organización situada en California y sometida a las leyes de dicho estado. A raíz de las filtraciones del espionaje masivo e indiscriminado de la NSA, ésto no otorga mucha confianza al resto de países del mundo.
Esperamos que esta entrada te haya sido de utilidad y, recuerda que si tienes dudas, desde Loopeando.com estaremos encantados de ayudarte en los comentarios.
Escribir comentario