Foi a 8 de Julho que grandes crânios da Microsoft, Cisco Systems e Sun Microsystems se reuniram para tentar corrigir e melhorar o actual DNS. Desde 1990 que se conhecem falhas no sistema que traduz nomes de domínios para endereços de IP, mas uma particular, descoberta há cerca de seis meses, coloca nas mãos de cracker’s a segurança dos utilizadores.
Em Março, Dan Kaminsky, um informático de Seattle, de 29 anos, sabia que tinha encontrado uma das mais graves falhas do Domain Name System. Ciente de que as informações que possuía não podiam cair em mãos erradas, colaborou secretamente com fabricantes e entidades reguladoras, incluindo o CERT, para corrigir o problema. Hoje, todas as três empresas referidas, lançaram já pacthes que podem ser utilizados com esse intuito.
Mas afinal de que falamos? O possível ataque tem o nome de DNS Cache Poisoning e permite a utilizadores mal intencionados substituir informações nos servidores de DNS. Devido ao enorme volume de dados que passa diariamente por este sistema, os servidores recorrem a um método que coloca em cache correspondências utilizadas em pedidos anteriores.
Geralmente, um utilizador ligado à Internet tem como servidor de DNS, um servidor oferecido pelo seu ISP. Se eu no meu browser pretender visitar o endereço https://pplware.sapo.pt é enviado um pedido a este servidor que o traduz num endereço de IP, neste caso, 77.91.202.118, que o computador precisa para me levar até lá. Durante algum tempo este endereço ficará em cache no DNS e todos os clientes do meu ISP que pretenderem visitar o Peopleware receberão o mesmo IP. É por esta mesma razão que certos utilizadores não conseguem visitar certos portais que mudaram recentemente de alojamento: o endereço anterior ainda está em cache no DNS.
Assim sendo, já deve ter percebido como funciona o DNS Cache Poisoning. Um utilizador aproveita-se da falha descoberta por Dan Kaminsky e envia para o servidor informações incorrectas. Se o servidor estiver correctamente configurado e com os últimos patches de segurança, irá verificar com um authoritative name server (servidores que não colocam endereços em cache). Caso contrário o servidor continuará a distribuir o IP incorrecto fazendo com que o utilizador seja enviado para páginas falsas, por exemplo de bancos, criadas pelo mesmo cracker.
Como sei se o servidor de DNS que utilizo é seguro? No seu site, Dan Kaminsky disponibiliza uma pequena ferramenta que irá automaticamente verificar isso mesmo. Ao que conseguimos apurar, em Portugal, pelo menos a ZON Netcabo, ZON Madeira, AR Telecom e Kanguru ainda não corrigiram estes problemas. No estrangeiro a conhecida AT&T e vários outros ISP’s dos Estados Unidos estão na mesma situação.
Se está verdadeiramente preocupado com a sua segurança recomenda-se o uso do OpenDNS. A 6 de Agosto, numa conferência em Las Vegas, a DEFCON, Dan Kaminsky irá finalmente revelar detalhes técnicos sobre a sua descoberta. Como ele diz, quando se corrige algo, anuncia-se que algo está mal. Estima-se que até ao momento, apenas 0.4% dos ataques realizados utilizaram este método.
