Um passo para o futuro, sem mágica

Augusto Paes de Barros, especialista em segurança presidente da ISSA Brasil-SP, acha a medida válida, mas diz que o DNSSEC, apesar de ser um protocolo muito bem desenhado em termos de segurança, é difícil de colocar em prática.

Barros ainda explica que, mesmo com o DNSSEC, ainda há espaço para que um invasor consiga redirecionar domínios de forma maliciosa. “É claro que reduz as possibilidades, mas pouco, tendo em vista o panorama da infra-estrutura de resolução de nomes atual”, comenta.

Mas Neves, do Registro.br, aponta que, com o tempo, os sistemas dos usuários finais — sem depender dos seus provedores — poderão descobrir se o endereço IP recebido pelo servidor de DNS é verdadeiro ou não.

Barros também considera esta uma possibilidade, mas não descarta que, antes disso acontecer, outras soluções melhores não apareçam: “É um passo em direção ao futuro, mas tal futuro pode demorar para chegar, ou mesmo nem chegar, [pois] inventa-se e adota-se outro protocolo no meio do caminho”.

Ele lembra que existem outros tipos de fraudes bancárias que não dependem dos ataques prevenidos pelo DNSSEC. “As fraudes de DNS são apenas uma parte das fraudes bancárias na Internet hoje. As pessoas ainda vão cair em phishing, pois poucos reparam nas URLs acessadas; há casos onde a URL é mascarada — janelas sem barras de endereço, por exemplo — e existem formas de ofuscar as URLs”, argumenta.

Os conhecidos cavalos de tróia, que roubam senhas de banco, não terão sua ação dificultada de forma alguma pelo DNSSEC. Frederico Neves, do Registro.br, não tinha informações exatas sobre quantas fraudes ocorrem devido ao envenenamento de cache — o tipo de ataque combatido pelo DNSSEC –, mas acredita que é um problema sério, pois, de acordo com ele, os bancos brasileiros varrem a Internet procurando por servidores de DNS que estejam envenenados com redirecionamentos. A Linha Defensiva enviou um e-mail à Febraban para pedir números, mas o pedido não foi retornado.

Barros finaliza lembrando que é necessário ter cuidado com soluções “mágicas”: “Toda a tentativa [de proteger os usuários] é válida, mas devemos tomar cuidado com soluções mágicas. Esta não e uma delas, com certeza”, conclui.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

1 comentário

  1. No dia 18/07/2007, às 14:00h, será ministrado um tutorial gratuito na sede do NIC.br em São Paulo sobre DNSSEC. Para inscrever-se é necessario acessar o site: http://registro.br/dnssec/

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.