El dia a dia …

Chrome OS se asemeja cada vez más a un sistema operativo tradicional, con moderno interfaz gráfico.

Google ha presentado su sistema operativo con ventanas Aura. El otrora minimalista sistema operativo de Google ahora tiene barra de tareas, escritorio y soporte para ventanas interpuestas.

El aspecto actual de Chrome se diferencia bastante del inicial, en que era difícil distinguir entre el sistema operativo de Google y el navegador Chrome, donde las aplicaciones web instaladas debían ser ejecutadas sus propias pestañas. Por el contrario, Chrome OS incorpora ahora soporte para ventanas interpuestas para programas.

El proyecto Aura implica además una propuesta de los ingenieros de Google que ofrecer soporte para ricos efectos visuales y transiciones animadas. Para conseguirlo, han recurrido a la aceleración por hardware.

El nuevo interfaz ha sido incorporado a la última versión para desarrolladores (19.0.1048.17).

Entre otras novedades importantes puede mencionarse el soporte para varias pantallas simultáneas, actualizaciones del reproductor local de vídeo, y soporte para los archivos de compresión tar, gz y bzip2.

Por ahora, la nueva versión del sistema operativo es compatible con los modelos Chromebook AC700 de Acer y Series 5 de Samsung.

El blog no oficial Google Operating Systemha publicado una serie de imágenes del nuevo Chrome OS con interfaz Aura.

Siguiéndole la pista al descubrimiento de una red de robots Flashback Mac OS X (Flashfake), la cual se propaga como un applet de Java que simula ser una actualización para el reproductor de Adobe Flash, analistas de Kaspersky Lab han podido confirmar que más de 600.000 Macs han sido infectadas a nivel mundial.

Diario Ti: “Realizamos una ingeniería inversa del algoritmo en el dominio de primera generación y utilizamos la fecha actual para generar y registrar un nombre de dominio, ‘krymbrjasnof.com’ “, expresó Igor Soumenkov, analista de Kaspersky Lab. “Después del registro del dominio, pudimos registrar las solicitudes de los robots. Dado a que cada petición del robot contiene hardware UUID único, pudimos calcular el número de robots activos”.

El análisis de Kaspersky Lab registró más de 600.000 robots únicos que se conectaron a su servidor en menos de 24 horas, utilizando un total de más de 620.000 direcciones IP.

Aproximadamente 300.917 de los robots activos se conectaron desde los Estados Unidos, seguido por 94.625 en Canadá, 27.109 en el Reino Unido y 41.600 en Australia. El análisis confirmó que este virus troyano también está presente en América Latina, con más de 13.000 Macs infectadas. México cuenta con casi 6.000 infecciones, la mayor cantidad de computadoras basadas en Mac en Latinoamérica comprometidas por esta amenaza.

El siguiente mapa muestra la penetración del Flashfake en Suramérica sin contar a México.

El siguiente gráfico muestra la proporción de las infecciones del Flashfake en la región.

“Con base de las direcciones IPs de las Mac infectadas en América Latina, hemos confirmado que entre las víctimas se encuentran algunos bancos, empresas de comunicaciones, los medios de comunicación, entre otras empresas,” asegura Dmitry Bestuzhev, director del equipo de análisis e investigación para Kaspersky Lab en América Latina.

Aunque Kaspersky Lab no puede confirmar ni negar que todos los robots que se conectaron a su servidor a nivel mundial ejecuten Mac OS X, si obtuvieron una estimación aproximada utilizado técnicas de toma de huellas dactilares pasivos del sistema operativo.

“Más del 98 por ciento de los paquetes de red entrantes fueron muy probablemente enviados por hosts de Mac OS X. Aunque esta técnica se basa en heurística y no se puede confiar completamente, puede ser utilizada para hacer estimaciones del orden de magnitud”, explicó Soumenkov. “Por lo tanto, es muy probable que la mayoría de las máquinas que ejecutan el bot Flashfake son Macs”.

Se exhorta a los usuarios de Mac, especialmente aquellos con versiones antiguas de OS X, que ejecuten actualizaciones de su software lo antes posible.

Para más información, puede acceder al artículo completo de Igor Soumenkov Red de robots de Mac OS X confirmada.

Firmas de seguridad advierten de un troyano que roba contraseñas y datos personales y que se ha instalado en medio millón de equipos de Apple.

Más de medio millón de computadoras han sido afectadas con un virus troyano dirigido a las máquinas de Apple, advirtieron dos empresas de seguridad informática.

El troyano se llama Flashback y rompe la defensa antivirus de las Mac disfrazado de una actualización del sistema operativo para el programa Adobe Flash Video. El virus está diseñado para permitir a los delincuentes informáticos robar contraseñas y números de cuentas bancarias.

El ataque fue detectado por la firma de seguridad finlandesa F-Secure y por el vendedor de programas antivirus ruso Dr. Web. Esta última estimó que más de 600 mil computadoras Mac podrían estar infectadas.

Más del 56% de estas máquinas se encuentra en Estados Unidos, un 20% en Canadá y 13% en el Reino Unido, además de otros países como Australia y Japón con 1% o menos, informó la empresa.

“Todo lo que los chicos malos han aprendido al realizar ataques en el mundo del PC está siendo trasladado ahora al mundo Mac”, declaró a la Agencia France Press Dave Marcus, director de inteligencia de amenazas de McAfee Labs.

“Mac ha sostenido durante mucho tiempo que no era vulnerable a los programas maliciosos (malware) para PC, lo que es cierto: son vulnerables a los programas maliciosos para Mac”, añadió.

El futuro de la energía eléctrica pasa por el suministro a través de redes inteligentes, capaces de intercomunicarse entre sí, desde las estaciones al consumidor final. Las redes Smart Grid permitirán optimizar mejor los servicios a los clientes y conocer más en detalle el consumo en cada momento gracias a elementos como medidores, cámaras inalámbricas y otros dispositivos interconectados. Pero para ello, será imprescindible contar con una infraestructura de TI escalable, fiable y segura. Ciena, el especialista en redes, analiza cómo deberían ser las redes de datos para los servicios eléctricos de próxima generación.

La apuesta por la mejora y optimización de las redes de suministro eléctrico está impulsando la modernización de sus infraestructuras de comunicaciones para maximizar su valor de red. Las redes de las empresas de servicios públicos actualmente suelen consistir en anillos SONET/ SDH que interconectan las subestaciones de los centros de control de red. Los dispositivos en las subestaciones están conectados a la red de comunicaciones mediante una amplia gama de interfaces heredadas costosas y poco flexibles y, además de los anillos de fibra, las redes generalmente se montan sobre líneas cobre arrendadas y servicios inalámbricos de distinto tipo.

En Latinoamérica, la evolución de las redes que prestan servicio a los sistemas eléctricos puede tomar una de dos formas. En primer lugar, existen redes y regiones que están listas para dar el siguiente paso y aprovechar la tecnología de las redes inteligentes o Smart Grid. La evolución al Smart Grid está impulsando la necesidad de más capacidad y más control en la red, debido al rápido crecimiento del tráfico IP y Ethernet generado por las nuevas aplicaciones basadas en paquetes. Sin embargo, los actuales protocolos y el tráfico TDM no van a desaparecer a corto plazo, lo que significa que el enfoque de la modernización de la red debe ser una práctica que permita una evolución controlada, asequible y manejable de la infraestructura de hoy día a una de próxima generación.

Por otra parte, hay determinadas geografías en la región que optarán por un paso intermedio, donde se modernizan considerablemente las redes eléctricas para ofrecer un servicio más eficiente y confiable pero no necesariamente se está listo para pasar a un esquema de Smart Grid. Estas regiones necesitan modernizarse para satisfacer la demanda actual y futura mediante las mejoras de la eficiencia y el control.

Para esta evolución hacia sistemas eléctricos más modernos, Ciena, el especialista en redes, propone una serie de tecnologías que pueden implementarse de manera que se adecúen para el nivel de mejoría y modernización que necesitan las distintas partes de las redes eléctricas.

WDM para una red preparada para el futuro
Con unos requisitos de ancho de banda cada vez mayores, debido al aumento de aplicaciones de datos de medición, video-vigilancia y optimización de rejilla, están llevando a las redes core hacia la multi-plexación por división de longitud de onda, o WDM (Wave Division Multiplex). La WDM aprovecha la capacidad de la planta de fibra, proporcionando las bases para una red de transporte de servicios públicos con gran ancho de banda, flexible y escalable. Esta tecnología no es nada más un paso para Smart Grids – permite a las compañías de utilidades optimizar y cumplir funciones básicas para la manutención, administración y resguardo de sus redes.

Arquitectura Ethernet orientada a conexión para un backhaul fiable y predecible
Ethernet es la tecnología de transporte más eficiente y rentable para manejar el creciente volumen de tráfico IP en redes empresariales de servicios públicos. Algunas de estas empresas, sin embargo, tienen dudas sobre la fiabilidad y la previsibilidad del transporte IP/Ethernet para datos de misión crítica. La tecnología basada en estándares de Ethernet orientada a conexión da respuesta a dichas dudas mediante «circuitos» predecibles de ingeniería del tráfico, los cuales proporcionan comunicaciones determinísticas consistentes.

Backhaul radio de Ethernet para una total cobertura del territorio
El último paso en esta práctica estrategia de modernización es conectar a los usuarios finales, los consumidores de Smart Grid, con los centros de datos y de control de la empresa de servicios públicos. En una Infraestructura de Medición Avanzada, o AMI (Advanced Metering Infrastructure), la red que se conecta a contadores inteligentes en el hogar o empresa suele ser una red inalámbrica (una red radio de malla, de telefonía móvil comercial o WiMAX) que actúa de enlace de las comunicaciones entre los medidores inteligentes y la red core, permitiendo el flujo de datos desde los clientes hacia la empresa de servicios públicos, y viceversa.

Estas soluciones suponen una base de comunicación de doble sentido que es altamente fiable y está siempre disponible, a la vez que es asequible de instalar y operar. De esta forma, las compañías de redes eléctricas optimizan mucho mejor la seguridad y la eficiencia de todo el sistema de suministro de energía y los consumidores, además de recibir un mejor servicio, tienen un mejor control sobre su consumo eléctrico.

A través de la red de socios que forman parte del programa BizConnect de Ciena, el cual en marzo de 2011 recibió la cotizada calificación de cinco estrellas de CRN, Ciena a lo largo de 2012 trabajará para identificar las necesidades del sector eléctrico y de utilidades de los distintos países de América Latina. Trabajando de cerca con sus socios del canal, Ciena busca ofrecer soluciones y tecnologías que permitirán la mejora actual y futura de las redes que respaldan las rejillas eléctricas latinoamericanas – un paso más en la modernización constante que está atravesando la región.

Por Fabio Medina, Gerente General y Vicepresidente de Ventas, América Latina – Ciena

El código de un iPhone 4 puede ser vulnerado en 20 segundos. Incluyendo un necesario re-inicio del sistema, todo el proceso toma menos de dos minutos.

La intrusión puede ser realizada utilizando la herramienta especial XRY, combinación de hardware y software desarrollada por la empresa de seguridad informática Micro Systemation, proveedor sueco de productos especialmente diseñados para la policía y las Fuerzas Armadas.

La tecnología ha sido presentada en un video publicado en YouTube. Mediante la herramienta, el código de desbloqueo de un teléfono iPhone es revelado con rapidez y sencillez. Posteriormente, el contenido del aparato puede ser exportado a un PC y descifrado. Esto proporciona, entre otras cosas, acceso a la bitácora GPS del teléfono, archivos, lista de conversaciones, y mensajes de texto.

El producto es distribuido con los cables necesarios, y soporte para examinar hasta tres teléfonos móviles simultáneamente.
XRY funciona de la misma forma que un denominado “jailbreak” del teléfono. Es un proceso mediante el cual se elimina la restricción del palacio de software de terceros en el teléfono. El código desde su propio del teléfono es obtenido mediante el procedimiento de “fuerza bruta”.

El grupo hacktivista dio un nuevo paso en sus iniciativas en la red creando su popio sistema operativo el cual lleva el nombre “Anonymous OS”.

Este sistema operativo está basado en la distribución Ubuntu 11.10 y se encuentra con una serie de programas para entre los que se encuentran algunos como Find Host IP, Anonymous HOIC, Ddosim, Slowloris, XChat IRC, Tor, entre muchos otros.

Anonymous OS se encuentra disponible para ser descargado de forma gratuita en la red, sin embargo, no existe ninguna garantía de que contenga algún tipo de malware que recopile información del usuario o, incluso, se trata de una estrategía gubernamental para dar con los integrantes del colectivo.

Este sistema operativo está basado en la distribución Ubuntu 11.10 y se encuentra con una serie de programas para entre los que se encuentran algunos como Find Host IP, Anonymous HOIC, Ddosim, Slowloris, XChat IRC, Tor, entre muchos otros.

Se han reportado múltiples vulnerabilidades que afectan a Apple iOS que podrían ser explotadas para tanto por atacantes locales como remotos para tomar control del dispositivo, obtener información sensible, etc.

iOS es un sistema operativo móvil desarrollado por Apple en principio para iPhone. Sin embargo en la actualidad otros dispositivos de la marca incorporan iOS como sistema operativo: iPad, iPod Touch, y Apple TV.

En total se han publicado 81 vulnerabilidades que afectan a iOS. Se explican algunas brevemente a continuación.

* La primera de estas vulnerabilidades se debe a un error de desbordamiento de enteros en la librería ‘libresolv’ al procesar registros DNS, que podría causar un desbordamiento de memoria intermedia basada en heap. Explotando este error un atacante remoto podría ejecutar código arbitrario a través de registros DNS especialmente manipulados.
Esta vulnerabilidad tiene asignado el identificador CVE-2011-3453.

* El modo de navegación privada o ‘Private Browsing’ del navegador Safari impide que se guarde un registro de las páginas visitadas. Sin embargo, aprovechando la vulnerabilidad CVE-2012-0585, un atacante remoto podría comprometer la integridad de este registro utilizando los métodos Javascript ‘pushState’ y ‘replaceState’.

* Otra vulnerabilidad, ésta en el componente CFNetwork e identificada como CVE-2012-0641, se debe a un error al procesar URLs mal formadas. De forma remota podría ser explotada para revelar información si el usuario visita una página web especialmente manipulada.

* Existe un error de desbordamiento de enteros en HFS al procesar archivos de catálogo que podría provocar una corrupción de memoria. Un atacante remoto podría aprovechar esta vulnerabilidad para, potencialmente, ejecutar código arbitrario a través de un archivo de catálogo especialmente manipulado en una imagen de disco HFS. Se le ha asignado el identificador CVE-2012-0642.

* Un atacante remoto podría eludir las restricciones de seguridad de la sandbox y ejecutar código remoto a través de un programa especialmente manipulado explotando la vulnerabilidad CVE-2012-0643. Dicha vulnerabilidad es producida por un error en el kernel de iOS al no procesar correctamente las llamadas de depuración del sistema.

* Hay un error de condición de carrera que afecta al componente de bloqueo con contraseña (”Passcode Lock”), cuando procesa gestos de deslizamiento. Aprovechándolo, se podría acceder al dispositivo aunque se encuentre bloqueado con contraseña. El identificador de esta vulnerabilidad es CVE-2012-0644.

* La vulnerabilidad CVE-2012-0645 describe un fallo en el componente Siri al no restringir correctamente la capacidad de “Mail.app” para procesar comandos de voz. Un atacante local podría eludir el bloqueo de pantalla a través de un comando y enviar un mensaje de correo a un destinatario arbitrario.

* Otra de las vulnerabilidades publicadas, la CVE-2012-0646, se debe a un error de formato de cadena en el componente de VPN. Podría ser utilizado por un atacante remoto para ejecutar código arbitrario a través de un archivo de configuración racoon especialmente manipulado.

Además de las anteriores, existen otras decenas de vulnerabilidades en WebKit, la mayoría no especificadas, que podrían corromper la memoria permitiendo denegaciones de servicio e incluso ejecutar código arbitrario.

Todas estas vulnerabilidades afectan a los dispositivos que incorporan iOS 5, es decir, iPhone 3GS, iPhone 4, iPhone 4S, iPod touch, iPad, e iPad 2.

Para solventar las vulnerabilidades explicadas anteriormente es necesario actualizar los dispositivos a la versión 5,1 de iOS.

Es inevitable. De vez en cuando, alguien lanza la voz de alarma, y se pone de “moda” alguna familia de malware, independientemente de su peligrosidad. Leemos en titulares lo que parece el apocalipsis del malware. Lo peor es sospechar que la moda es en realidad de 2008.

Con titulares como “Llega un virus alta peligrosidad “DNS Changer”" y frases como “diversos organismos de seguridad en Internet a nivel mundial han alertado de la peligrosidad del virus DNS Changer, [...] de difícil erradicación en los ordenadores afectados.” Desinforman y meten el miedo en el cuerpo, alejando al usuario de otros peligros mucho más
reales y complejos. Veamos qué está pasando realmente.

Lo que llega a VirusTotal

Entendemos que lo que llega a VirusTotal es un buen indicador de qué está pasando ahí fuera. Así que buscamos por “Dnschanger” en la base de datos. Esto siempre tiene sus riesgos, puesto que la nomenclatura actual
de las firmas es un absoluto desastre, y pocas veces se ponen de acuerdo.
Aun así los resultados, ordenados por las veces que han llegado, son de las últimas dos semanas.

Comprobamos que unos pocos bichos de 2008-2009 han “vuelto” y han sido muy enviados en las últimas semanas. El primero, con 1.282 envíos, ni siquiera es un DNSChanger, sino un keygen para piratear un programa comercial. Así que tenemos muy pocas muestras de 2012 catalogadas más o menos de forma unánime como DNSChanger, pero sí algunas que, desde 2008, han vuelto a la “brecha” volviendo a ser muy enviadas a VirusTotal.
Vamos a analizarlas un poco.

¿Se ha puesto de moda malware de 2008?

Pues eso parece. Leyendo las características de ese DNSChanger, vemos que su principal objetivo es modificar los servidores DNS en local de la máquina hacia estos rangos:

85.255.112.0 hasta 85.255.127.255
67.210.0.0 hasta 67.210.15.255
93.188.160.0 hasta 93.188.167.255
77.67.83.0 hasta 77.67.83.255
213.109.64.0 hasta 213.109.79.255
64.28.176.0 hasta 64.28.191.255

Efectivamente, analizando la muestra que más veces ha llegado en las últimas dos semanas, vemos que, tras un menú que simula ser un programa de codecs.

Termina cambiando los DNS. El programa hace poco más (crea ficheros con nombres como freebsd.exe y notepad.exe en el temporal, no sabemos bien por qué).

Ahora, con estos DNS, Google no va donde debería, por ejemplo:

Analizando estos troyanos, hemos recordado anuncios anteriores en UAD, por ejemplo
http://unaaldia.hispasec.com/2008/12/la-familia-de-malware-dnschanger.html.
Donde se hablaba de mejoras en este malware. Curiosamente, el rango de direcciones IP de los DNS falsos sigue siendo el mismo. Tras varias muestras, consigo extraer estos DNS falsos:

85.255.113.205, 85.255.112.144, 85.255.114.75, 85.255.112.212, 85.255.116.71 y 85.255.112.63.

Efectivamente, en el rango anunciado.

¿Es un “revival” de un malware antiguo?

Tampoco podemos asegurarlo totalmente, pero todo indica que más o menos es así. Buscamos en la base de datos de VirusTotal y encontramos sobre todo muestras de este tipo que modifiquen los servidores DNS de la
manera que indican… así que todo apunta a que es esto lo que está ocurriendo. Aunque también puede ser que estemos hablando de malware que no está en VirusTotal, o que no hemos sabido encontrar por ese nombre… quién sabe.

Desde luego, si es el caso, este malware no es en absoluto de “difícil erradicación”… basta con cambiar los DNS locales de la máquina. Y su peligrosidad es muy limitada comparada con la sofisticación que podemos encontrar ahí fuera.

Otras curiosidades

Comprobando esto, hemos acudido a la página http://dnschanger.eu/ un
servicio gratuito para comprobar si se están usando servidores DNS “rogue” o falsos. Gracias a mi compañero David García, hemos descubierto algo interesante. En principio nos parecía mala idea usar un dominio para comprobar si se están usando en el sistema DNS falsos. El operador de estos servidores DNS que ha infectado tu máquina, solo tendría que
redirigir, bloquear o cambiar la IP del dominio para engañar al usuario, y este nunca sabría realmente si sus DNS son los buenos o no. Es lo de siempre: no puedes realizar operaciones concluyentes sobre si un sistema está infectado… operando desde el propio sistema.

Intentando averiguar cómo hace la página para saber si el visitante cuenta con DNS maliciosos o no, hemos descubierto que dnschagner.eu utiliza el dominio dns-ok.de. Muchos de estos DNS “malos”, devuelven una resolución diferente a la de los “buenos” de este dominio, y ese es el criterio que parece seguir. Los DNS “buenos” resuelven a 85.214.11.195 y los malos a 85.214.11.194. El método parece consistir en conseguir la imagen alojada en

Así, si puedes descargar esta imagen: (pero resolviendo el dominio) es
que estás infectado. Si no, es que en realidad estás acudiendo a y por tanto no estás infectado.

Es un método curioso (y con flecos), del que todavía quedaría por averiguar los detalles. Parece que se debe “condenar” a los servidores que se saben “rogue” a resolver de forma controlada hacia otra IP… He llamado a la OSI (Oficina de Seguridad del Internauta) para ver si nos lo pueden aclarar, y estamos esperando respuesta.

Protegerse de verdad

Como siempre que hay una alerta mediática, aparecen métodos y herramientas para protegerse. En realidad el método más eficaz para evitar que algo o alguien te modifique los DNS ya está inventado: son los permisos nativos de Windows. Los datos de las interfaces de red se almacenan en el registro.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces

Si somos usuarios, no podremos cambiarlo. Si somos administradores… debemos impedirnos a nosotros mismos y a todo lo que ejecutemos que pueda modificar sus valores. Con el botón derecho sobre esa rama, cambiamos los permisos y eliminamos el “control total” sobre los administradores. Ya nadie podrá cambiar las propiedades de nuestras
interfaces de red. Esto es lo más efectivo (siempre que recuerdes que lo has cambiado y reviertas la configuración cuando sea necesario).

Se ha desvelado una vulnerabilidad en la implementación de ICMP de IBM AIX que podría causar una denegación de servicio. Se trata,sencillamente, de un “ping de la muerte” que puede hacer que el servidor deje de responder con solo enviarle un paquete ICMP.

IBM ha anunciado una vulnerabilidad que afecta al sistema operativo AIX (Advanced Interactive eXecutive) 5, 6, y 7 que corren sus servidores IBM eServers pSeries. Este fallo sale a la luz solo unas semanas después de que a principios de febrero, se anunciara otro problema en el rocesado de paquetes TCP en AIX, que podía provocar un “kernel panic” ante cierto tráfico de red.

La vulnerabilidad está causada por un error al procesar paquetes del protocolo ICMP (Internet Control Message Protocol). Un atacante remoto podría aprovechar la vulnerabilidad para provocar una denegación de servicio enviando un paquete ICMP ‘echo reply’ con el campo ‘Identifier’
establecido a 1.

“Ping de la muerte” fue como se dio en llamar a un simple ataque muy popular a mediados de los noventa, que consistía simplemente en enviar a la víctima un paquete ping de más de 65.535 bytes. Al intentar procesarlo y responder, el sistema dejaba de responder. Durante esos
años afectó a la mayoría de sistemas operativos del momento, de una u otra forma. Fue corregido por casi todos en 1997.

Esta vulnerabilidad tiene asignado el identificador CVE-2011-1385, y una puntuación CVSS base de 7.8 dado que la complejidad para su explotación es baja y puede llevarse a cabo de forma remota.

Los equipos afectados son aquellos que corren los sistemas operativos IBM AIX 5.3.12, 6.1.5, 6.1.6, 6.1.7, 7.1.0 y 7.1.1. Es posible determinar si un sistema es vulnerable ejecutando el siguiente comando para conocer la versión:

lslpp -L bos.net.tcp.client

IBM ha publicado los parches correspondientes para solucionar la vulnerabilidad. Estos pueden descargarse desde la página oficial o a través de su FTP:
http://www.ibm.com/eserver/support/fixes/fixcentral/main/pseries/aix
ftp://aix.software.ibm.com/aix/efixes/security

Se ha publicado un fallo en el sistema de actualización de caché en servidores BIND 9.x. Un atacante podría tener acceso a los datos de un dominio cuyos datos han sido borrados.

BIND es un servidor DNS que fue desarrollado a principios de los 80 por cuatro universitarios de la Universidad de Berkely (California).
Más adelante, el desarrollo quedó a cargo de varios empleados de DEC para que finalmente, Paul Vixie, terminase fundando ISC que es la organización que se ha encargado del mantenimiento de este software desde entonces.

La última versión del software original apareció en mayo de 1997 como BIND 8. A partir de ese momento el desarrollo empezó de cero con el apoyo del gobierno de los Estados Unidos concienciados con la importancia de la seguridad de los sistemas DNS. Como resultado
de esto se publicó BIND 9, siendo el servidor DNS más utilizado en Internet actualmente.

El fallo permite que un dominio siga resolviendo, incluso cuando ha sido eliminado de los registros de servidores superiores de los que pueda heredar el DNS y que haya expirado su TTL.

Supongamos que se quiere eliminar un dominio fraudulento, usado exclusivamente por un troyano para la descarga de un componente. Esto es bastante común hoy en día, y la fórmula habitual para atajarlo es hacer que el registrante elimine el dominio. Durante la vida del dominio, la resolución se propaga por otros servidores DNS. El fallo permitiría que, aunque fuese eliminado este dominio de los servidores del registrante, no se atajara el problema cuando expirasen sus TTL. El dominio seguiría estando accesible indefinidamente y por tanto, la descarga del componente del troyano.

Actualmente no existe solución a este problema, aunque ICS está investigando y preparando un parche que solvente esta vulnerabilidad.