A Internet recebe um patch, pois o bug de DNS é corrigido

Os fabricantes do software usado para conectar computadores na Internet lançaram coletivamente atualizações de software na terça-feira para corrigir um bug sério em um dos protocolos subjacentes da Internet, o Sistema de Nomes de Domínio (DNS).

foi descoberto "por completo acidente", por Dan Kaminsky, um pesquisador do fornecedor de segurança IOActive. Kaminsky, ex-funcionário da Cisco Systems, já é conhecido por seu trabalho em rede.

Ao enviar certos tipos de consultas a servidores DNS, o invasor pode redirecionar as vítimas para um site legítimo - digamos, Bofa.com - para um site malicioso, sem que a vítima perceba. Esse tipo de ataque, conhecido como envenenamento de cache DNS, não afeta apenas a Web. Ele poderia ser usado para redirecionar todo o tráfego da Internet para os servidores do hacker.

[Leitura adicional: Como remover malware do seu PC Windows]

O bug pode ser explorado "como um ataque de phishing sem enviar e-mail, "disse Wolfgang Kandek, diretor técnico da empresa de segurança Qualys. Embora essa falha afete alguns roteadores domésticos e o software DNS cliente, é um problema para usuários corporativos e ISPs (provedores de serviços de Internet) que executam os servidores DNS usados." por PCs para encontrar o caminho pela Internet, Kaminsky disse. "Os usuários domésticos não devem entrar em pânico", disse ele em teleconferência na terça-feira. Após descobrir o bug há alguns meses, Kaminsky imediatamente reuniu um grupo de 16 especialistas em segurança responsáveis ​​por produtos DNS, que se encontraram na Microsoft em 31 de março. para arrumar uma maneira de resolver o problema. "Entrei em contato com os outros caras e disse: 'Temos um problema'", disse Kaminsky. "A única maneira de podermos fazer isso é ter um lançamento simultâneo em todas as plataformas".

Essa enorme correção de erros ocorreu na terça-feira, quando vários dos provedores de software de DNS mais utilizados lançaram patches. A Microsoft, a Cisco, a Red Hat, a Sun Microsystems e o Internet Software Consortium, fabricantes do software de servidor DNS mais utilizado, atualizaram seus softwares para resolver o problema.

O BIND de código aberto da Internet Software Consortium (Berkeley Internet Name Domínio) é executado em cerca de 80% dos servidores DNS da Internet. Para a maioria dos usuários do BIND, a correção será uma atualização simples, mas para os estimados 15% dos usuários do BIND que ainda não migraram para a versão mais recente do software, o BIND 9, as coisas podem ser um pouco mais difíceis.

porque versões mais antigas do BIND têm alguns recursos populares que foram alterados quando o BIND 9 foi lançado, de acordo com João Damas, gerente de programa sênior do Internet Software Consortium.

O bug de Kaminsky tem a ver com a forma como os clientes e servidores DNS obtêm informações de outros servidores DNS na Internet. Quando o software DNS não conhece o endereço IP (Internet Protocol) numérico de um computador, ele solicita a outro servidor DNS essa informação. Com o envenenamento de cache, o invasor engana o software DNS para acreditar que domínios legítimos, como o Bofa.com, mapeiam para endereços IP maliciosos.

Os pesquisadores de segurança já sabem há algum tempo maneiras de iniciar esses ataques de envenenamento de cache contra servidores DNS Mas, normalmente, esses ataques exigem que os invasores enviem muitos dados para o servidor DNS que estão tentando infectar, o que facilita a detecção e o bloqueio dos ataques. No entanto, Kaminsky descobriu uma maneira muito mais eficaz de lançar um ataque bem-sucedido.

Como a falha de Kaminsky está no design do próprio DNS, não há uma maneira fácil de resolvê-lo, disse Damas. Em vez disso, empresas como a ISC adicionaram uma nova medida de segurança ao seu software que torna mais difícil o envenenamento do cache funcionar.

No longo prazo, no entanto, a maneira mais eficaz de lidar com o envenenamento do cache é adotar uma forma mais segura. versão do DNS, chamada DNSSEC, disse Danny McPherson, diretor de pesquisa da Arbor Networks. A correção de terça-feira é basicamente "um hack que torna muito mais difícil", disse ele. "Mas isso não resolve o problema da raiz".

Kaminsky diz que vai dar aos administradores de rede um mês para consertar o software antes de revelar mais detalhes técnicos sobre a falha na conferência Black Hat do mês que vem, em Las Vegas. Enquanto isso, ele publicou um código em seu site que permite que os usuários verifiquem se o servidor DNS corporativo ou do ISP foi corrigido.