Projeto de código aberto tem o objetivo de tornar o DNS seguro mais fácil

Um grupo de desenvolvedores lançou um software de código aberto que dá aos administradores uma mão em tornar o sistema de endereçamento da Internet menos vulnerável a hackers.

O software, chamado OpenDNSSEC, automatiza muitas tarefas associado à implementação do DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio), que é um conjunto de protocolos que permite que registros DNS (Domain Name System) carreguem uma assinatura digital, disse John A. Dickinson, consultor de DNS que trabalha no projeto.

Registros DNS permitem que sites da Web sejam traduzidos de um nome para um endereço IP (Internet Protocol), que pode ser consultado por um computador. Mas o sistema DNS tem várias falhas desde o seu design original que estão sendo cada vez mais alvo de hackers.

[Leia mais: Como remover malware do seu PC Windows]

Ao adulterar um servidor DNS, é possível que um usuário digite o nome correto do site, mas seja direcionado a um site fraudulento, um tipo de ataque chamado envenenamento de cache. Essa é uma das muitas preocupações que está gerando um movimento para os ISPs e outras entidades que executam servidores DNS para usar o DNSSEC.

Com o DNSSEC, os registros DNS são assinados criptograficamente e essas assinaturas são verificadas para garantir que as informações sejam precisas. A adoção do DNSSEC, no entanto, foi prejudicada pela complexidade da implementação e falta de ferramentas mais simples, disse Dickinson.

Para assinar registros DNS, o DNSSEC usa criptografia de chave pública, onde assinaturas são criadas usando chave pública e privada. e implementado em um nível de zona. Parte do problema é o gerenciamento dessas chaves, já que elas precisam ser atualizadas periodicamente para manter um alto nível de segurança, disse Dickinson. Um erro no gerenciamento dessas chaves pode causar grandes problemas, que é um dos desafios para os administradores.

O OpenDNSSEC permite que os administradores criem políticas e depois automatizem o gerenciamento das chaves e a assinatura dos registros, disse Dickinson. O processo agora envolve mais intervenção manual, o que aumenta a chance de erros.

O OpenDNSSEC "cuida para garantir que a zona permaneça assinada de forma correta e correta, de acordo com a política de maneira permanente", disse Dickinson. "Tudo isso é totalmente automatizado para que o administrador possa se concentrar em fazer DNS e deixar a segurança funcionar em segundo plano."

O software também possui um recurso de armazenamento de chaves que permite aos administradores manter chaves em um hardware ou módulo de software de segurança., uma camada adicional de proteção que garante que as chaves não acabem nas mãos erradas, disse Dickinson.

O software OpenDNSSEC está disponível para download, embora esteja sendo oferecido como uma prévia tecnológica e não deva ser usado ainda em produção, Dickinson disse. Os desenvolvedores reunirão comentários sobre a ferramenta e lançarão versões aprimoradas em um futuro próximo.

A partir do início deste ano, a maioria dos domínios de nível mais alto, como os que terminam em ".com", não foram assinados criptograficamente e nem na zona de raiz do DNS, a lista principal de onde os computadores podem procurar um endereço em um domínio específico. A VeriSign, que é o registro de ".com", disse em fevereiro que implementará o DNSSEC em domínios de primeiro nível, incluindo.com até 2011.

Outras organizações também estão adotando o DNSSEC. O governo dos EUA comprometeu-se a usar o DNSSEC para seu domínio ".gov". Outros operadores de ccTLDs (domínios de primeiro nível com código de país) na Suécia (.se), Brasil (.br), Porto Rico (.pr) e Bulgária (.bg) também usam o DNSSEC.

Especialistas em segurança argumentam que O DNSSEC deve ser usado mais cedo ou mais tarde devido a vulnerabilidades existentes no DNS. Um dos mais sérios foi revelado pelo pesquisador de segurança Dan Kaminsky em julho de 2008. Ele mostrou que os servidores DNS poderiam ser rapidamente preenchidos com informações imprecisas, que poderiam ser usadas para uma variedade de ataques a sistemas de e-mail, sistemas de atualização de software e senha. sistemas de recuperação em sites da Web.

Embora os patches temporários tenham sido implantados, não é uma solução de longo prazo, já que leva mais tempo para realizar um ataque, de acordo com um white paper publicado no início deste ano pela SurfNet, uma organização holandesa de pesquisa e educação. A SurfNet está entre os patrocinadores da OpenDNSSEC, que também inclui o registro ".uk" Nominet, NLnet Labs e SIDN, o registro ".nl".

A menos que DNSSEC seja usado, "a falha básica no Sistema de Nomes de Domínio - Não há como garantir que as respostas às perguntas sejam genuínas - permanece ", disse o jornal.