Uma Internet mais segura com o DNSSEC

  • ddoneda - publicou em 02 de fevereiro de 2011
Esteve recentemente no Brasil Steve Crocker, que é um dos pioneiros da Internet e hoje continua envolvido diretamente com o gerenciamento da rede. Steve esteve na sede do NIC.br no dia 18 de janeiro, onde falou sobre o DNSSEC, um conjunto de extensões que proporcionam maior segurança ao sistema de resolução de nomes de domínio por meio da autenticação das requisições feitas a servidores DNS. O sistema DNS apresenta determinadas vulnerabilidades que podem , por exemplo, fazer com que a navegação na Internet seja desviada por conta de um ataque ao DNS que pode forjar o IP referente a um nome de domínio. O DNSSEC implementa autenticação nas requisições de DNS, que são verificadas por meio de uma assinatura digital, o que garante que o usuário que realize uma requisição possa ter certeza que terá retornado o endereço que efetivamente corresponde ao nome de domínio informado. Este tipo de autenticação é bastante eficaz para diminuir a incidência de casos de phishing, por exemplo. Apesar do grande avanço que representa em relação ao sistema de DNS, que não foi concebido tendo a segurança como preocupação, o DNSSEC ainda não foi adotado de forma ampla e global na Internet. Há uma série de motivos, alguns deles tratados por Steve Crocker, para este atual compasso de espera, entre eles o custo de implementação, a dificuldade de escala em idealizar um sistema que seja compatível com o atual sistema DNS, bem como a dificuldade em definir onde e como serão armazenadas as chaves criptográficas-raiz do sistema, entre outras. O Brasil é um dos primeiros países que implementaram o DNSSEC em seu Top Level Domain .br (o que foi realizado em 2007), no que está acompanhado da Bulgária, República Tcheca, Porto Rico e Suécia. A utilização das extensões DNSSEC no Brasil é, de fato, obrigatória para os domínios .JUS.BR e .B.BR. No primeiro deles operam as instituições do poder judiciário e, na outra, os bancos. Muito embora diversas instituições bancárias já tenham operacionalizado o DNSSEC (experimente visitar seu banco no endereço http://www.NOMEDOSEUBANCO.b.br/ ), ainda não houve a adoção efetiva e massiva do DNSSEC por estes últimos. Considerando que os ataques de phishing representam uma fatia concreta dos problemas de fraude bancária no Brasil, é de se esperar que, em breve, este recurso de segurança seja promovido como forma de reforçar a segurança do usuário de serviços bancários on-line no Brasil. A estrutura técnica já está pronta. foto: (CC) Joi