Castellano | English


Jan 24, 2015

NSA's MORECOWBELL: even the most basic internet architecture is compromised

When you do something on the internet, almost everything begins with a request to the Domain Name System. It is thanks to this fundamental protocol that users with no technical knowledge can access different services on the web by looking up names (such as www.example.com) instead of complex IP addresses (like 2001:DB8:4145::4242). DNS was invented to solve a very basic usability issue of the newly born internet. With time it has become so widespread that it is used by virtually everybody to carry out their daily activities on the web.

The system, built during the beginning of the 1980's was never intended to preserve the user's privacy: every DNS database is public and stores the contents of requests, their answers and user's sensitive metadata (like information on duration, time and place of access) without any kind of encryption.

DNS has always been an open book and MORECOWBELL is the program the NSA has developed exclusively to read it. As the leaked slides show, the system allows the agency to monitor the availability of sites and web services, changes in content and a wide array of metadata that can help it build complete profiles for targeted users. If necessary, it can even be used to find weak points for launching direct attacks. Given the widespread use of DNS in the public internet, the implications of this program are huge, as it affects users on a global level.

To achieve this, MORECOWBELL uses dedicated infrastructure camouflaged in different locations, including Malaysia, Germany and Denmark, besides 13 other countries that sustain their network of servers. This distributed and secret network gives the NSA a series of strategic advantages. On one hand, they have a global overview of DNS resolutions and the availability of services, and on the other, it makes it impossible to attribute the operation to the US Government.

Even though the DNS community is conscious of the privacy issues described above, conflicting interests make it virtually impossible to come up with a consensus on the solution. On one part, modifying a system as widely distributed as DNS can result in major problems for the daily internet use of billions of users. On the other, a change that seeks to solve these problems can clash head on with business models and powerful national interests.

MORECOWBELL: Programa de la NSA cuestiona la arquitectura básica del Internet

Cuando haces algo en Internet, casi todo comienza con una solicitud al DNS. Es gracias a este protocolo fundamental que usuarios sin ningún conocimiento técnico pueden acceder a distintos servicios buscando nombres (como www.ejemplo.com), en lugar de complejos números IP (como 2001:DB8:4145::4242). El DNS fue pensado para resolver un problema fundamental de usabilidad de la incipiente red, y con el tiempo ha sido tan exitoso que es utilizado diariamente por cada persona en todo lo que hace en el ciberespacio.

Este sistema, construido a inicios de los 80s durante los tiempos optimistas del Internet, nunca tuvo entre sus objetivos proteger la privacidad de sus usuarios: todas las bases de datos son públicas y almacenan el contenido de las transmisiones y otros metadatos sensibles de los usuarios (por ejemplo, la información sobre duración, momento y lugar de acceso) sin ningún tipo de cifrado.

El DNS siempre ha sido un libro abierto y MORECOWBELL es el programa que la NSA ha desarrollado exclusivamente para leerlo. Como demuestran las diapositivas filtradas, el sistema permite monitorear de forma altamente efectiva la disponibilidad de páginas y servidores web, cambios de contenido y una gran variedad de metadatos que permiten armar perfiles detallados de usuarios y servicios y, en última instancia, encontrar puntos vulnerables para lanzar ataques cibernéticos. Gracias al uso del DNS en todo el Internet público, las implicaciones de este programa de espionaje son enormes, ya que afecta a todos los usuarios a nivel global.

Para lograr esto, MORECOWBELL utiliza infraestructura dedicada y camuflada en varios países, que incluyen Alemania, Malasia y Dinamarca, además de otros 13 países que sustentan su red de servidores. Este programa distribuido y secreto le permite, por un lado, tener una visión global de las resoluciones DNS y la disponibilidad de los servicios, y, por otro, hacer que sea imposible de atribuir la operación al gobierno de los EE.UU.

A pesar de que existe conciencia dentro de la comunidad del DNS de que la privacidad es un problema grave, intereses conflictivos hacen virtualmente imposible una solución consensuada. Por una parte, modificar un sistema tan vasto como el DNS puede resultar en problemas mayúsculos para el acceso a Internet de billones de usuarios. Por otra, una modificación que busque resolver estos problemas puede ser negativo para modelos de negocios importantes o para intereses nacionales.




More info -Descargar
1,039,129 bytes / .pdf

Contact

RSS feed
Twitter

Collaboration and networking: network@awp.is
Editorial staff:
editors@awp.is
Press inquiries: press@awp.is
PGP encrypted: pgp@awp.is public key


The AWP is supported by DataCell ehf, a sustainable and ethical hosting provider supporting transparency and freedom of expression.

This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.