Registran 14 dominios de Windows para robar información de tu PC

Tu ordenador no es perfecto. Cada uno de nuestros dispositivos procesa millones de unos y ceros cada segundo, pero hay momentos en los que uno de esos «bits» puede cambiarse, y pasar de ser un 0 a un 1, o de un 1 a un 0. Esto ocurre con más frecuencia de la que parece, y puede dar lugar a que un hacker robe información de tu ordenador.

Este problema es conocido como «bit flipping«, y suele ocurrir debido a factores como erupciones solares, rayos cósmicos, o simplemente un fallo de hardware. En el espacio esto es bastante frecuencia, ya que el equipamiento, por mucho que se proteja, está expuesto a mayor radiación. Para evitar estos fallos se utiliza un sistema llamado Triple Modular Redundancy, que produce tres copias idénticas de cada bit de información almacenado en la memoria cache L1 y L2 del procesador. Así, si se pierde algún bit, se podrá cotejar con los otros dos bits para determinar si la información es o no correcta.

Bitsquatting: registrar dominios para aprovechar estos fallos

En la Tierra esto no es tan problemático como en el espacio, de ahí que los procesadores no cuenten con esa capacidad. Los ordenadores personales tampoco usan memoria RAM ECC, que corrige los errores en tiempo real, ya que esta memoria sólo se suele usar en servidores.

Por ello, un investigador decidió probar a hacer «bitsquatting«, que consiste en comprar dominios similares al que se quiere replicar. En este caso, centró su atención en Windows.com y compró dominios como whndows.com, o windnws.com. En el primer caso, la «i» en binario es 01101001, y la h es 01101000, cambiando sólo un dígito del final y dando lugar a un nuevo dominio.

En total, creó una lista de 32 dominios posibles con sólo un cambio de bit. De ellos, 14 no estaban registrados por nadie, y se gastó 126 dólares en comprarlos. El listado es el siguiente:

  • windnws.com
  • windo7s.com
  • windkws.com
  • windmws.com
  • winlows.com
  • windgws.com
  • wildows.com
  • wintows.com
  • wijdows.com
  • wiodows.com
  • wifdows.com
  • whndows.com
  • wkndows.com
  • wmndows.com

En todos los dominios configuró un sumidero de DNS para analizar el tráfico recibido, y se dio cuenta de que había mucho tráfico «real» del dominio principal de Windows. Del que más capturó fue tráfico UDP del servidor de la hora de Microsoft, time.windows.com. También recibió solicitudes de tráfico TCP que tenía que llegar a Windows Push Notification Services (WNS) o a SkyDrive (antiguo OneDrive). Aunque gran parte del tráfico venía realmente de bits alterados por hardware, también había mucho tráfico de usuarios que se equivocaban al entrar al dominio.

Apple tiene todos los dominios registrados; Microsoft, no

El investigador, llamado Remy, afirma que intentó hacer lo mismo con el dominio de time.apple.com, pero descubrió que todos los dominios alterables estaban registrados, ya fuera o no por Apple. En el caso de Microsoft, la compañía ha demostrado ser bastante descuidada en cuanto a dominios que tienen su nombre, dejando algunos incluso abiertos al público a pesar de que hay elementos en sus sistemas operativos que redirigen a ellos.

Comprar los dominios es la mejor solución para evitar estos ataques. A nivel de dispositivos, lo ideal sería que toda la memoria que integra el procesador, la gráfica o los módulo RAM contasen con ECC. Esto último será así a partir de DDR5, que por fin incluirá ECC por defecto, dejando de ser algo exclusivo de la memoria para servidores.