A solução: DNSSEC

O objetivo do DNSSEC é permitir que os servidores de DNS — operados pelos provedores — consigam autenticar as respostas das resoluções de nomes. Se um invasor conseguir falsificar um endereço IP para o site verdadeiro, o servidor de DNS, usando o DNSSEC, poderá verificar que aquela resposta não é a correta e assim saberá que deve descartá-la e tentar descobrir o real endereço do site novamente, até obter uma resposta válida.

Já o b.br parece semelhante ao domínio “seguro” proposto pelo diretor de pesquisa antivírus da F-Secure, Mikko Hypponen. Hypponen sugeriu que um novo DPN seguro (.bank) fosse criado e que somente instituições bancárias pudessem registrar websites nele, assim como o “.gov” é usado exclusivamente pelo governo dos Estados Unidos. Com o domínio, qualquer site de banco poderia ser facilmente identificando apenas observando-se o endereço. No Brasil, somente entidades ligadas à Febraban podem registrar um domínio no b.br.

Frederico Neves, diretor de Serviços e Tecnologia do Registro.br, afirma, em uma entrevista por e-mail, que o Comitê Gestor da Internet (CGI) não foi influenciado pelas idéias de Hypponen. “A idéia de um domínio exclusivo para os bancos já é antiga e vem sendo comentada no CGI há mais de dois anos”, explicou, adicionando que o plano para a criação do novo DPN já estava confirmado desde dezembro e ganhou força graças ao DNSSEC.

Neves informou que sites que se localizam abaixo do “com.br” também poderão utilizar DNSSEC a partir do último trimeste deste ano. Mas, para estes sites, a tecnologia é apenas opcional. No b.br, não. “Abaixo do domínio .COM.BR, DNSSEC é uma opção; abaixo do domínio .B.BR, ele é obrigatório”, disse.

Problema já solucionado
Cadeado do SSL

SSL/IE6

O problema solucionado pelo DNSSEC — a autenticação dos sites — é um problema já resolvido por outro protocolo de segurança, o SSL, que faz aparecer o famoso “cadeado” nas páginas dos bancos. Este só aparece quando a página que está sendo visitada é mesmo a página que diz ser, ou seja, todos os sites falsos não poderão reproduzir o cadeado.

Apesar de resolver um problema já resolvido, o DNSSEC consegue fazer isso de forma mais transparente que o SSL. Muitos bancos também não utilizam SSL de forma correta, anulando as propriedades que permitiriam aos usuários identificar as páginas falsas. E o b.br, mesmo que não ajude os internautas a identificarem sites de bancos, servirá como uma forma mais simples de entender o que se passa por trás, já que a garantia de segurança do b.br não será usada por todos os outros domínios brasileiros.

Os maiores benefícios do DNSSEC, então, só poderão ser vistos no futuro. Se este futuro vier a acontecer.

Próxima página: DNSSEC não é uma solução mágica

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

1 comentário

  1. No dia 18/07/2007, às 14:00h, será ministrado um tutorial gratuito na sede do NIC.br em São Paulo sobre DNSSEC. Para inscrever-se é necessario acessar o site: http://registro.br/dnssec/

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.