O NIC.br criou um novo DPN — Domínio de Primeiro Nível — para os bancos, o “b.br”. O grande diferencial deste DPN é o DNSSEC, extensão de segurança do DNS, que é obrigatório para todos os domínios colocados abaixo deste domínio. O DNSSEC previne um tipo de ataque específico: o envenenamento de cache do DNS, que possibilita que um criminoso redirecione o site do banco para um servidor próprio, onde o golpista recebe todas as informações que o usuário enviar, inclusive as senhas.

Para que um computador consiga acessar um endereço como http://www.linhadefensiva.org, ele precisa acessar um servidor de DNS, isto é, um computador especial que consegue “traduzir” este “nome” (www.linhadefensiva.org) em um endereço IP — um número que identifica unicamente um computador na rede — para que ele possa se conectar nele. Este processo se chama resolução de nome.

Cada provedor opera seu próprio servidor de DNS para fazer esta tradução e ele, quando requisitado por um dos vários clientes do provedor, precisa buscar qual o “número” correto em outro servidor (chamado de NS), operado pelo próprio site que será visitado. É possível que um criminoso consiga falsificar uma resposta do NS com um endereço que não é o do site verdadeiro, o que resultaria na criação de um redirecionamento malicioso para todos os usuários daquele provedor.

O servidor de DNS, para não ter que repetir o processo toda vez que um usuário quiser acessar determinado site, armazena a informação obtida em um “cache”. A informação pode ficar neste “cache” por até 3 dias antes do cache ser eliminado e o servidor fazer novamente a resolução do nome. Caso um atacante consiga fazer um servidor de DNS armazenar em cache a informação do IP malicioso, esta ficará ali até que o cache seja limpo. Por este motivo, este tipo de ataque recebe o nome de envenenamento de cache.

Próxima página: A solução: DNSSEC

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

One Comment

  1. No dia 18/07/2007, às 14:00h, será ministrado um tutorial gratuito na sede do NIC.br em São Paulo sobre DNSSEC. Para inscrever-se é necessario acessar o site: http://registro.br/dnssec/

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s