Jefferson Smart#
Notícias
Número de Mensagens : 116
Idade : 30
Localização : Minha casa
Data de inscrição : 18/03/2009
|
Assunto: Saiba por que sites terminados em 'b.br' são mais seguros Dom maio 10, 2009 7:31 pm |
|
|
Saiba por que sites terminados em 'b.br' são mais seguros
Endereços podem evitar o envenenamento de DNS. Na semana passada, a coluna Segurança para o PC explicou como funciona o ataque de envenenamento de cache DNS, usado por golpistas para redirecionar páginas de instituições financeiras para sites clonados. A coluna de hoje dá continuidade ao assunto, explicando algumas vulnerabilidades que facilitaram esses ataques e também o que pode ser feito para preveni-los, como o EV-SSL e o DNSSEC, usado nos domínios “b.br”. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras. Leia também: Saiba como golpistas da web levam internautas a sites falsos O ataque explicado na semana passada é o mais simples de todos; pode-se dizer que ele é “cru”. O criminoso não só precisa adivinhar o código identificador da conexão, como terá apenas uma chance de fazer isso a cada período de algumas horas. Se fosse possível tentar repetidamente adivinhar o código, é certo que, mais cedo ou mais tarde, isso aconteceria. Até o ano passado, não se conhecia uma maneira de tentar mais de uma vez. Assim como o a memória temporária (cache) mantém um redirecionamento malicioso on-line por algum tempo, ela também mantém o registro legítimo. Ou seja, depois que a resposta verdadeira e correta está no DNS, ela estará segura até que sua data de validade (“TTL” ou “time to live” no jargão técnico) termine. O malfeitor precisaria, portanto, esperar o fim do TTL para poder tentar novamente. Ele teria uma tentativa a cada período de algumas horas, o que significa que um ataque bem-sucedido poderia levar muito tempo para ser feito, mesmo com computadores atacando o DNS 24 horas.
>>>> Vulnerabilidades facilitam o ataque Realizar o ataque sem nenhuma técnica extra é complicado, mas um criminoso com mais conhecimento tem algumas opções para tornar o envenenamento de cache possível. Sobrecarregar o NS do site alvo para torná-lo lento é um exemplo. Atrasar a resposta legítima em meio segundo é suficiente para dar algumas milhares de chances a mais para o malfeitor. Os problemas mais graves são as falhas de segurança. Em alguns servidores de DNS vulneráveis ou configurados incorretamente, um criminoso nem precisa adivinhar o código identificador para envenenar o cache. Em vez disso, o indivíduo mal-intencionado pode simplesmente solicitar que o DNS traduza um endereço que ele próprio controla. Assim, o DNS irá contactar um NS também operado pelo criminoso. Esse NS, em vez de responder corretamente a solicitação do DNS, irá plantar o redirecionamento para o outro endereço, o alvo. Em outras palavras, o criminoso pede que o DNS traduza o endereço “siteruim.mal” para IP, mas o “siteruim.mal” tenta informar o IP de “algumbanco.alvo”. Isso é um erro: o “siteruim.alvo” não devia ter nenhuma autoridade sobre o registro de outros sites. O DNS configurado incorretamente ou vulnerável, no entanto, pode acabar aceitando e terá seu cache envenenado. Às vezes o problema é tão sério que pode permitir o redirecionamento do chamado NS raiz. Com isso, um criminoso teria o controle sobre todos os sites terminados em “.com”, por exemplo. No ano passado, Dan Kaminky alertou a respeito da possibilidade de usar o princípio do técnica acima de forma diferente. Embora “siteruim.mal” não tenha autoridade sobre “algumbanco.alvo”, tanto “www.algumbanco.alvo” como “abc.algumbanco.alvo” têm autoridade sobre “algumbanco.alvo”. Isso significa que o criminoso pode usar combinações de subdomínios, mesmo que inexistentes, para repetidamente tentar envenenar o cache com uma resposta falsa. Explicando melhor, o criminoso pede ao DNS que ele traduza o nome “qualquercoisaaqui.algumbanco.alvo”. Como o DNS não sabe a resposta, terá de consultar o NS, dando ao criminoso a possibilidade de interferir no processo, mas, em vez de informar o IP de “qualquercoisaqui”, o redirecionamento se dará no “www”. Isso pode ser repetido infinitamente, até que dê certo. Normalmente isso não seria possível, porque o “www” em si já estaria no cache, e o DNS não precisaria entrar no processo de tradução. Não existe solução para isso. Os servidores DNS apenas passaram a usar maior aleatoriedade em seus códigos, esperando que, com isso, criminosos não consigam adivinhá-los.
>>>> O DNSSEC e SSL/EV-SSL como solução Foto: Reprodução
Sites protegidos com EV-SSL mostram o nome da organização responsável na barra de endereços, mais visível que o simples 'cadeado' que aparece em sites com SSL comum. (Foto: Reprodução)
Embora medidas tenham sido tomadas para proteger o DNS, ele ainda é um protocolo vulnerável. A solução definitiva para o problema seria uma extensão do DNS chamada DNSSEC, na qual o a conexão é identificada também por meio de uma assinatura digital, difícil de ser quebrada pelo criminoso. É preciso que provedores, órgãos gestores da internet e donos de sites todos trabalhem juntos para fazer o DNSSEC funcionar. Como foi dito na coluna da semana passada, a responsabilidade pelo DNS não está nas mãos de uma única entidade. No Brasil, o DNSSEC já está disponível para alguns endereços. Sites terminados em “b.br” – que vários bancos possuem – são obrigatoriamente protegidos com DNSSEC e, em tese, à prova de envenenamento. Um criminoso não consegue se disfarçar do servidor NS para plantar o IP falso, porque a conexão não terá a assinatura correta. Embora adoção do DNSSEC seja lenta, o Brasil é um dos pioneiros. Se o seu banco já possui um endereço terminado em “b.br”, é certamente mais seguro usá-lo do que o endereço “.com”, “.com.br” ou qualquer outro. Outra medida contra o envenenamento de cache, já em uso, é o conhecido SSL, o “cadeado de segurança”, exibido pelo navegador em sites seguros. Um site redirecionado não poderia apresentar um “cadeado” válido; um erro apareceria na tela. Porém, muitos sites que lidam com informações sigilosas erram ao não utilizar o cadeado na página principal, não permitindo que o internauta verifique se o site é o correto até depois de informações já serem enviadas para o site falso. Para resolver alguns dos problemas do SSL, existe o EV-SSL (“Extended Validation SSL”) que, entre outras coisas, consegue exibir o nome da organização responsável pelo site. Vale lembrar que o ataque de envenenamento de cache ocorre no provedor. Ou seja, além observar a presença do cadeado e usar o endereço “b.br”, não existe muito que o usuário possa fazer. Qualquer servidor DNS pode ser eventualmente comprometido ou envenenado. A coluna de hoje fica por aqui. Na quarta-feira (29) é dia de pacotão de segurança, com resposta a dúvida de leitores. Até lá! * Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Fonte:G1
|
|