Fórum DanJ


 
InícioPortalFAQBuscarRegistrar-seConectar-se

 

Saiba por que sites terminados em 'b.br' são mais seguros

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
Autor Mensagem
Jefferson Smart#
Notícias
Notícias
avatar

Número de Mensagens : 116
Idade : 24
Localização : Minha casa
Data de inscrição : 18/03/2009

MensagemAssunto: Saiba por que sites terminados em 'b.br' são mais seguros   Dom Maio 10, 2009 7:31 pm

Saiba por que sites terminados em 'b.br' são mais seguros


Endereços podem evitar o envenenamento de DNS.
Na semana passada, a coluna Segurança para o PC explicou como
funciona o ataque de envenenamento
de cache DNS
, usado por golpistas para redirecionar
páginas de instituições financeiras para sites clonados. A
coluna de hoje dá continuidade ao assunto, explicando algumas
vulnerabilidades que facilitaram esses ataques e também o que
pode ser feito para preveni-los, como o EV-SSL e o DNSSEC, usado
nos domínios “b.br”.

Se você tem alguma dúvida sobre segurança da informação
(antivírus, invasões, cibercrime, roubo de dados, etc), vá
até o fim da reportagem e utilize a seção de comentários. A
coluna responde perguntas deixadas por leitores todas as quartas-feiras.



Leia também:

Saiba como golpistas da web levam internautas a
sites falsos



O ataque explicado na semana passada é o mais simples de todos;
pode-se dizer que ele é “cru”. O criminoso não só precisa
adivinhar o código identificador da conexão, como terá apenas
uma chance de fazer isso a cada período de algumas horas. Se
fosse possível tentar repetidamente adivinhar o código, é certo
que, mais cedo ou mais tarde, isso aconteceria. Até o ano
passado, não se conhecia uma maneira de tentar mais de uma vez.

Assim como o a memória temporária (cache) mantém
um redirecionamento malicioso on-line por algum tempo, ela
também mantém o registro legítimo. Ou seja, depois que a
resposta verdadeira e correta está no DNS, ela estará segura até
que sua data de validade (“TTL” ou “time to live” no jargão
técnico) termine.

O malfeitor precisaria, portanto, esperar o fim do
TTL para poder tentar novamente. Ele teria uma tentativa a cada
período de algumas horas, o que significa que um ataque
bem-sucedido poderia levar muito tempo para ser feito, mesmo com
computadores atacando o DNS 24 horas.



>>>> Vulnerabilidades facilitam o ataque

Realizar o ataque sem nenhuma técnica extra é complicado, mas um
criminoso com mais conhecimento tem algumas opções para tornar o
envenenamento de cache possível.

Sobrecarregar o NS
do site alvo para torná-lo lento
é um exemplo. Atrasar a
resposta legítima em meio segundo é suficiente para dar algumas
milhares de chances a mais para o malfeitor.

Os problemas mais graves são as falhas de
segurança. Em alguns servidores de DNS vulneráveis ou
configurados incorretamente, um criminoso nem precisa adivinhar
o código identificador para envenenar o cache.

Em vez disso, o indivíduo mal-intencionado pode
simplesmente solicitar que o DNS traduza um endereço que ele
próprio controla. Assim, o DNS irá contactar um NS também
operado pelo criminoso. Esse NS, em vez de responder
corretamente a solicitação do DNS, irá plantar o
redirecionamento para o outro endereço, o alvo.

Em outras palavras, o criminoso pede que o DNS
traduza o endereço “siteruim.mal” para IP, mas o “siteruim.mal”
tenta informar o IP de “algumbanco.alvo”. Isso é um erro: o
“siteruim.alvo” não devia ter nenhuma autoridade sobre o
registro de outros sites. O DNS configurado incorretamente ou
vulnerável, no entanto, pode acabar aceitando e terá seu cache
envenenado.

Às vezes o problema é tão sério que pode permitir
o redirecionamento do chamado NS raiz. Com isso, um criminoso
teria o controle sobre todos os sites terminados em “.com”, por
exemplo.

No ano passado, Dan
Kaminky
alertou a respeito da possibilidade de usar o
princípio do técnica acima de forma diferente. Embora
“siteruim.mal” não tenha autoridade sobre “algumbanco.alvo”,
tanto “www.algumbanco.alvo” como “abc.algumbanco.alvo” têm
autoridade sobre “algumbanco.alvo”. Isso significa que o
criminoso pode usar combinações de subdomínios, mesmo que
inexistentes, para repetidamente tentar envenenar o cache com
uma resposta falsa.

Explicando melhor, o criminoso pede ao DNS que ele
traduza o nome “qualquercoisaaqui.algumbanco.alvo”. Como o DNS
não sabe a resposta, terá de consultar o NS, dando ao criminoso
a possibilidade de interferir no processo, mas, em vez de
informar o IP de “qualquercoisaqui”, o redirecionamento se dará
no “www”. Isso pode ser repetido infinitamente, até que dê
certo. Normalmente isso não seria possível, porque o “www” em si
já estaria no cache, e o DNS não precisaria entrar no processo
de tradução.

Não existe solução para isso. Os servidores DNS
apenas passaram a usar maior aleatoriedade em seus códigos,
esperando que, com isso, criminosos não consigam adivinhá-los.



>>>> O DNSSEC e SSL/EV-SSL como solução








Foto: Reprodução



Sites protegidos com EV-SSL mostram o nome da
organização responsável na barra de endereços, mais
visível que o simples 'cadeado' que aparece em
sites com SSL comum. (Foto: Reprodução)







Embora medidas tenham sido tomadas para proteger o DNS, ele ainda
é um protocolo vulnerável. A solução definitiva para o problema
seria uma extensão do DNS chamada DNSSEC, na qual o a conexão é
identificada também por meio de uma assinatura digital, difícil
de ser quebrada pelo criminoso.

É preciso que provedores, órgãos gestores da
internet e donos de sites todos trabalhem juntos para fazer o
DNSSEC funcionar. Como foi dito na coluna da semana passada, a
responsabilidade pelo DNS não está nas mãos de uma única
entidade.

No Brasil, o DNSSEC já está disponível para alguns
endereços. Sites terminados em “b.br” – que vários bancos
possuem – são obrigatoriamente protegidos com DNSSEC e, em tese,
à prova de envenenamento. Um criminoso não consegue se disfarçar
do servidor NS para plantar o IP falso, porque a conexão não
terá a assinatura correta.

Embora adoção do DNSSEC seja lenta, o Brasil é um
dos pioneiros. Se o seu banco já possui um endereço terminado em
“b.br”, é certamente mais seguro usá-lo do que o endereço
“.com”, “.com.br” ou qualquer outro.

Outra medida contra o envenenamento de cache, já
em uso, é o conhecido SSL, o “cadeado de segurança”, exibido
pelo navegador em sites seguros. Um site redirecionado não
poderia apresentar um “cadeado” válido; um erro apareceria na
tela. Porém, muitos sites que lidam com informações sigilosas
erram ao não utilizar o cadeado na página principal, não
permitindo que o internauta verifique se o site é o correto até
depois de informações já serem enviadas para o site falso.

Para resolver alguns dos problemas do SSL, existe
o EV-SSL (“Extended Validation SSL”) que, entre outras coisas,
consegue exibir o nome da organização responsável pelo site.

Vale lembrar que o ataque de envenenamento de
cache ocorre no provedor. Ou seja, além observar a presença do
cadeado e usar o endereço “b.br”, não existe muito que o usuário
possa fazer. Qualquer servidor DNS pode ser eventualmente
comprometido ou envenenado.

A coluna de hoje fica por aqui. Na quarta-feira
(29) é dia de pacotão de segurança, com resposta a dúvida de
leitores. Até lá!



* Altieres Rohr é especialista em segurança
de computadores e, nesta coluna, vai responder dúvidas,
explicar conceitos e dar dicas e esclarecimentos sobre
antivírus, firewalls, crimes virtuais, proteção de dados e
outros. Ele criou e edita o Linha Defensiva, site e fórum de
segurança que oferece um serviço gratuito de remoção de
pragas digitais, entre outras atividades. Na coluna
“Segurança para o PC”, o especialista também vai tirar
dúvidas deixadas pelos leitores na seção de
comentários. Acompanhe também o Twitter da coluna, na página
http://twitter.com/g1seguranca.

Fonte:G1
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://hjeff1.spaces.live.com  http://twitter.com/JeffersonSmart

Saiba por que sites terminados em 'b.br' são mais seguros

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1

Permissão deste fórum: Você não pode responder aos tópicos neste fórum
Fórum DanJ :: Notícias -
criar um fórum | © phpBB | Fórum grátis de ajuda | Fale conosco | Assinalar uma queixa | Criar um fórum