NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. b.br e DNSSEC: um possível passo para o futuro
02 JUL 2007

b.br e DNSSEC: um possível passo para o futuro






Veículo: Linha Defensiva
Data: 02/07/2007
Autor: Altieres Rohr
Assunto: Registro.br

O NIC.br criou um novo DPN - Domínio de Primeiro Nível - para os bancos, o "b.br". O grande diferencial deste DPN é o DNSSEC, extensão de segurança do DNS, que é obrigatório para todos os domínios colocados abaixo deste domínio. O DNSSEC previne um tipo de ataque específico: o envenenamento de cache do DNS, que possibilita que um criminoso redirecione o site do banco para um servidor próprio, onde o golpista recebe todas as informações que o usuário enviar, inclusive as senhas.

Para que um computador consiga acessar um endereço como www.linhadefensiva.org, ele precisa acessar um servidor de DNS, isto é, um computador especial que consegue "traduzir" este "nome" (www.linhadefensiva.org) em um endereço IP - um número que identifica unicamente um computador na rede - para que ele possa se conectar nele. Este processo se chama resolução de nome.

Cada provedor opera seu próprio servidor de DNS para fazer esta tradução e ele, quando requisitado por um dos vários clientes do provedor, precisa buscar qual o "número" correto em outro servidor (chamado de NS), operado pelo próprio site que será visitado. É possível que um criminoso consiga falsificar uma resposta do NS com um endereço que não é o do site verdadeiro, o que resultaria na criação de um redirecionamento malicioso para todos os usuários daquele provedor.

O servidor de DNS, para não ter que repetir o processo toda vez que um usuário quiser acessar determinado site, armazena a informação obtida em um "cache". A informação pode ficar neste "cache" por até 3 dias antes do cache ser eliminado e o servidor fazer novamente a resolução do nome. Caso um atacante consiga fazer um servidor de DNS armazenar em cache a informação do IP malicioso, esta ficará ali até que o cache seja limpo. Por este motivo, este tipo de ataque recebe o nome de envenenamento de cache.

A solução: DNSSEC
O objetivo do DNSSEC é permitir que os servidores de DNS - operados pelos provedores - consigam autenticar as respostas das resoluções de nomes. Se um invasor conseguir falsificar um endereço IP para o site verdadeiro, o servidor de DNS, usando o DNSSEC, poderá verificar que aquela resposta não é a correta e assim saberá que deve descartá-la e tentar descobrir o real endereço do site novamente, até obter uma resposta válida.

Já o b.br parece semelhante ao domínio "seguro" proposto pelo diretor de pesquisa antivírus da F-Secure, Mikko Hypponen. Hypponen sugeriu que um novo DPN seguro (.bank) fosse criado e que somente instituições bancárias pudessem registrar websites nele, assim como o ".gov" é usado exclusivamente pelo governo dos Estados Unidos. Com o domínio, qualquer site de banco poderia ser facilmente identificando apenas observando-se o endereço. No Brasil, somente entidades ligadas à Febraban podem registrar um domínio no b.br.

Frederico Neves, diretor de Serviços e Tecnologia do Registro.br, afirma, em uma entrevista por e-mail, que o Comitê Gestor da Internet (CGI) não foi influenciado pelas idéias de Hypponen. "A idéia de um domínio exclusivo para os bancos já é antiga e vem sendo comentada no CGI há mais de dois anos", explicou, adicionando que o plano para a criação do novo DPN já estava confirmado desde dezembro e ganhou força graças ao DNSSEC.

Neves informou que sites que se localizam abaixo do "com.br" também poderão utilizar DNSSEC a partir do último trimeste deste ano. Mas, para estes sites, a tecnologia é apenas opcional. No b.br, não. "Abaixo do domínio .COM.BR, DNSSEC é uma opção; abaixo do domínio .B.BR, ele é obrigatório", disse.

Problema já solucionado
O problema solucionado pelo DNSSEC - a autenticação dos sites - é um problema já resolvido por outro protocolo de segurança, o SSL, que faz aparecer o famoso "cadeado" nas páginas dos bancos. Este só aparece quando a página que está sendo visitada é mesmo a página que diz ser, ou seja, todos os sites falsos não poderão reproduzir o cadeado.

Apesar de resolver um problema já resolvido, o DNSSEC consegue fazer isso de forma mais transparente que o SSL. Muitos bancos também não utilizam SSL de forma correta, anulando as propriedades que permitiriam aos usuários identificar as páginas falsas. E o b.br, mesmo que não ajude os internautas a identificarem sites de bancos, servirá como uma forma mais simples de entender o que se passa por trás, já que a garantia de segurança do b.br não será usada por todos os outros domínios brasileiros.

Os maiores benefícios do DNSSEC, então, só poderão ser vistos no futuro. Se este futuro vier a acontecer.

Um passo para o futuro, sem mágica
Augusto Paes de Barros, especialista em segurança presidente da ISSA Brasil-SP, acha a medida válida, mas diz que o DNSSEC, apesar de ser um protocolo muito bem desenhado em termos de segurança, é difícil de colocar em prática.

Barros ainda explica que, mesmo com o DNSSEC, ainda há espaço para que um invasor consiga redirecionar domínios de forma maliciosa. "É claro que reduz as possibilidades, mas pouco, tendo em vista o panorama da infra-estrutura de resolução de nomes atual", comenta.

Mas Neves, do Registro.br, aponta que, com o tempo, os sistemas dos usuários finais - sem depender dos seus provedores - poderão descobrir se o endereço IP recebido pelo servidor de DNS é verdadeiro ou não.

Barros também considera esta uma possibilidade, mas não descarta que, antes disso acontecer, outras soluções melhores não apareçam: "É um passo em direção ao futuro, mas tal futuro pode demorar para chegar, ou mesmo nem chegar, [pois] inventa-se e adota-se outro protocolo no meio do caminho".

Ele lembra que existem outros tipos de fraudes bancárias que não dependem dos ataques prevenidos pelo DNSSEC. "As fraudes de DNS são apenas uma parte das fraudes bancárias na Internet hoje. As pessoas ainda vão cair em phishing, pois poucos reparam nas URLs acessadas; há casos onde a URL é mascarada - janelas sem barras de endereço, por exemplo - e existem formas de ofuscar as URLs", argumenta.

Os conhecidos cavalos de tróia, que roubam senhas de banco, não terão sua ação dificultada de forma alguma pelo DNSSEC. Frederico Neves, do Registro.br, não tinha informações exatas sobre quantas fraudes ocorrem devido ao envenenamento de cache - o tipo de ataque combatido pelo DNSSEC -, mas acredita que é um problema sério, pois, de acordo com ele, os bancos brasileiros varrem a Internet procurando por servidores de DNS que estejam envenenados com redirecionamentos. A Linha Defensiva enviou um e-mail à Febraban para pedir números, mas o pedido não foi retornado.

Barros finaliza lembrando que é necessário ter cuidado com soluções "mágicas": "Toda a tentativa [de proteger os usuários] é válida, mas devemos tomar cuidado com soluções mágicas. Esta não e uma delas, com certeza", conclui.
Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso