Assisti a palestra sobre DNSSEC do Frederico Neves e voltei apavorado!
Eu sempre soube que na implementação da Internet, houve muitas falhas de definição em termos de segurança, principalmente porque não se imaginava que haveria tantas pessoas mal-intencionadas como existem agora. Mas de certa forma, o que fez a Internet ser tão popular, foi a simplicidade toda que envolve ela.
Pergunta: Será que ela teria aceitação mundial tão fácil, se fosse muito complicada de implementar seus protocolos?
Um dos tipo de falha muito comentadas atualmente é os ataque de Pishing. São graves, porque tentam roubar informações confidenciais, principalmente roubo de dados financeiros, como número de cartão de crédito e roubo de senha de acesso a home/office banking. Mas sempre tive a ilusão que um ataque destes não seria tão simples, que implicaria em falha do usuário em algum nível, etc.
A algum tempo atrás, me dei conta que tinha muita gente usando qualquer DNS que funcionasse bem, em suas configurações de rede. Fiquei “pasmo” quando vi que tinha um cliente que configurou um endereço de servidor DNS, sabe-se de lá de onde, em todas as suas máquinas. Imagina se este endereço é comprometido ou mesmo é de algum cracker? Bah…
Mas tudo bem, eu pensei: “se tivessem roubado dados, a culpa era de quem tinha tido a incrível idéia de usar um servidor dns rápido sabe-se-lá-de-onde”…
Mas a palestra do Frederico destruiu minha ilusão de “segurança”. Nunca imaginei que poderia ser tão simples burlar uma requisição DNS.
Resumidamente, a resolução de nome é composta por um cliente, um servidor recursivo (que em geral é o servidor DNS que você informa nas suas configurações de rede) e um ou mais autoritativos. Pois bem, toda esta comunicação para resolução de nomes, em geral é feita por UDP, que é muito fácil de falsificar. Então, se um cracker fizer um sniffer na rede, e “descobrir” uma requisição DNS e responder antes do servidor autoritativo ou recursivo, ele simplesmente consegue realizar ataques de comprometimento de cache, por exemplo, e “mentir” o endereço IP de um nome. Isso porque no protocolo DNS, o que vale é a primeira requisição que chegar até o servidor, ou seja, se um cracker conseguir ser mais rápido que um servidor recursivo ou autoritativo ele consegue fazer um phishing praticamente perfeito.
Neste caso, a única coisa que poderia garantir a autenticidade de um servidor é o https (mas até quando?).
Segundo o palestrante, a coisa é tão grave que as grandes instituições financeiras pagam empresas para ficarem verificando a rede, para certificar que não existem crackers tentando se utilizar destas técnicas contra elas.
Para solucionar estes problemas de falta de segurança no protocolo, foi criado o DNSSEC. No Brasil, ele já foi implementado em quase todos os domínios, com excessão de 2… O .com.br e o .org.br, ou seja, os mais importantes. Isso porque estes domínios são muito grandes e porque eles não provem segurança total (não garantem proteção contra DOS e confidencialidade dos dados). A terceira implementação promete resolver estes problemas e já pode ser usada em teste, com o domínio SEC3.BR. O registro nesta categoria é gratuita enquanto estiver em fase beta. Depois, será descontinuada.
Mais informações sobre o DNSSEC pode serem encontradas neste link de tutorial em PDF.
Noteblog - Software Livre 