b.br e DNSSEC: um possível passo para o futuro

O NIC.br criou um novo DPN — Domínio de Primeiro Nível — para os bancos, o “b.br”. O grande diferencial deste DPN é o DNSSEC, extensão de segurança do DNS, que é obrigatório para todos os domínios colocados abaixo deste domínio. O DNSSEC previne um tipo de ataque específico: o envenenamento de cache do DNS, que possibilita que um criminoso redirecione o site do banco para um servidor próprio, onde o golpista recebe todas as informações que o usuário enviar, inclusive as senhas.

Para que um computador consiga acessar um endereço como http://www.linhadefensiva.org, ele precisa acessar um servidor de DNS, isto é, um computador especial que consegue “traduzir” este “nome” (www.linhadefensiva.org) em um endereço IP — um número que identifica unicamente um computador na rede — para que ele possa se conectar nele. Este processo se chama resolução de nome.

Cada provedor opera seu próprio servidor de DNS para fazer esta tradução e ele, quando requisitado por um dos vários clientes do provedor, precisa buscar qual o “número” correto em outro servidor (chamado de NS), operado pelo próprio site que será visitado. É possível que um criminoso consiga falsificar uma resposta do NS com um endereço que não é o do site verdadeiro, o que resultaria na criação de um redirecionamento malicioso para todos os usuários daquele provedor.

O servidor de DNS, para não ter que repetir o processo toda vez que um usuário quiser acessar determinado site, armazena a informação obtida em um “cache”. A informação pode ficar neste “cache” por até 3 dias antes do cache ser eliminado e o servidor fazer novamente a resolução do nome. Caso um atacante consiga fazer um servidor de DNS armazenar em cache a informação do IP malicioso, esta ficará ali até que o cache seja limpo. Por este motivo, este tipo de ataque recebe o nome de envenenamento de cache.

Próxima página: A solução: DNSSEC