Site Meter
Welcome to TechNet Blogs Sign in | Join | Help

Dominio b.br Garante Mais Segurança?

Alguém pode me explicar como é que ter um domínio b.br com DNSSec vai garantir mais segurança aos usuários de Internet Banking?

Meu raciocínio, talvez limitado, é o seguinte: o protocolo DNS é realmente inseguro. Está mesmo sujeito a todo tipo de spoofing conhecido. Só que esse problema já foi superado há muito tempo com o uso de HTTP com SSL pelos sites Web. O SSL já fornece uma autenticação criptograficamente forte do site Web, e de quebra estabelece um canal criptografado entre o cliente e o site. Não importam os truques que um fraudador venha a fazer com o DNS e com o resto da infraestrutura de rede, o cliente já sabe quando está acessando o site Web verdadeiro. E o navegador fornece uma indicação visual disso.

("Ah, mas ninguém olha o cadeadinho". Ok, se depois de 10 anos de intensa campanha muitos usuários ainda não prestam atenção no cadeado, agora subitamente vão prestar atenção em uma letra b colocada no meio da URL? Sério?)

E em termos conceituais, o DNSSec é ainda menos seguro do que o HTTP com SSL. Usando as leis de Ranum, ao confiar em um site com SSL de um banco, você está implicitamente confiando na autoridade certificadora e no próprio banco. No DNSSec você está confiando no próprio banco e no seu provedor de acesso Internet. Cancelando os fatores, você estaria trocando confiar em uma autoridade certificadora, cujo negócio é confiança, por confiar em um provedor de acesso, cujo negócio é... prover acesso. É uma má escolha na minha opinião.

Por favor, eu não condeno a iniciativa do CGI.br. Implementar DNSSec é o que está ao alcance do comitê e ele está fazendo a sua parte. Mas ele está tentando resolver um problema que já foi resolvido.

UPDATE: O site Linha Defensiva publica hoje uma notícia sobre o assunto, ouvindo inclusive o Augusto.

 

Published Saturday, June 30, 2007 10:02 AM by fcima

Comments

Monday, July 02, 2007 9:33 AM by Contestador

# re: Dominio b.br Garante Mais Segurança?

Eu discordo do seu ponto de vista.

O DNSSEC funciona em camadas mais baixas que outros sistemas de segurança. A questão mais importante aqui é resolver o problema de ataques do tipo "man-in-the-middle", onde o seu trafego de rede é monitorado por uma pessoa que simula ser seu servidor recursivo ou seu servidor autoritativo. NÃO existe uma maneira de solucionar este tipo de ataque com os atuais sistemas de segurança. Pois se o cliente acessa pela primeira vez o website do banco, não existe nenhum certificado em sua memória local que consiga validar as informações fornecidas pelo website do banco. Neste exato ponto entra conceitos essenciais de cadeia de confiança utilizando uma chave pública ancorada e requisições com validação de assinatura tanto no servidor recursivo quanto no próprio resolver.

Monday, July 02, 2007 9:57 AM by fcima

# re: Dominio b.br Garante Mais Segurança?

Oi Contestador,

O uso de SSL/TLS já resolve o problema de ataques do tipo "man-in-the-middle". Tentar resolver isso com DNSSEC é no mínimo redundante, ainda mais sendo menos segura que a forma já existente.

O fato do SSL/TLS trabalhar em uma camada mais alta é uma vantagem e não uma desvantagem, porque abstrai as vulnerabilidades eventualmente encontradas nas camadas abaixo.

E na verdade já existe na máquina do usuário os certificados das autoridades certificadoras raiz, que permitem validar o certificado do Web site do banco.

Abracos,

- Fernando Cima

Monday, July 02, 2007 2:01 PM by Alberto Oliveira

# re: Dominio b.br Garante Mais Segurança?

Cima,

O que eu tenho visto muito é uma tentativa de "consertar" o que se resolve com educação, utilizando recursos tecnológicos. Você acaba por aumentar demais a complexidade com um ganho de segurança mínimo.

Quem sabe um dia não se tenta fazer o contrário? Educar para depois configurar? :).

[]'s

Alberto

Tuesday, July 03, 2007 2:51 PM by Altieres Rohr

# re: Dominio b.br Garante Mais Segurança?

O comentário do Alberto Oliveira me lembra de um artigo do Larry Seltzer na eWeek, The Moon and the Spam Filter, exatamente sobre o assunto das soluções tecnológicas para problemas sociais:

http://www.eweek.com/article2/0,1895,1911795,00.asp

Como o Cima falou, é difícil crer que alguém vai reparar no "b" quando ninguém observa o cadeado (nem presta atenção nas mensagens de certificado expirado).

Exatamente por ser difícil de crer nisso é que se torna complicado convencer os desenvolvedores a implementar o DNSSEC no próprio sistema. E também fica impossível abafar outras soluções para o mesmo problema (EV-SSL).

No fim, ficam escolhas demais e o medo de jogar trabalho fora acaba fazendo com que ninguém escolha nada. Ou então uns escolhem A e outros B, o que torna ainda mais difícil de educar os usuários, que é exatamente o que resolveria este tipo de problema.

O pior é que isso tudo serve para bloquear um único tipo de golpe, que nem se sabe exatamente qual é a gravidade.

Wednesday, July 04, 2007 4:44 AM by TrackBack

# http://paesdebarros.com.br/2007/07/dnssec-e-domnio-bbr.html

Wednesday, July 04, 2007 6:06 AM by fcima

# re: Dominio b.br Garante Mais Segurança?

Excelente referência Altieres, obrigado pelo link. E você toca em um ponto importante que eu nem tinha me dado conta.

Nós sempre orientamos o usuário a não confiar na URL apresentada e sim verificar o cadeado, e por um bom motivo - existem dezenas de forma escrever uma URL que "pareça" ser a correta.

Agora com o b.br vamos dizer para o usuário confiar na URL?

Wednesday, July 04, 2007 2:07 PM by Altieres Rohr

# re: Dominio b.br Garante Mais Segurança?

Isto mesmo, Cima. Recebi um e-mail de um usuário confuso porque sempre achou que só poderia digitar seu usuário e senha de banco em páginas que tivessem o cadeado, mas vários bancos não utilizam SSL nas páginas com os formulários.

Aí o usuário me questiona se observar o cadeado é afinal necessário ou não. "É necessário sim. Mas se você observá-lo à risca, não poderá usar internet banking porque o banco não usa o SSL corretamente." Isto não é resposta que podemos dar aos usuários.

Creio que o ideal seria proteger a página inicial, mesmo que ela não tivesse formulário, já para que o usuário saiba que está no lugar certo. Mas não fazem nada disso.

Como podemos dizer a eles que apenas um site com o cadeado é seguro? Se dissermos isso, vão desconfiar dos sites de praticamente todos os bancos (e com razão), porque não usam SSL de forma correta.

Com isso chega o DNSSEC, oferecendo garantia do endereço visitado. De uma hora para outra, os usuários devem confiar na URL. E os trojans que mudam o arquivo hosts? O DNSSEC protege contra isso? Já vi vários destes (Banhosts) porque são mais simples de serem desenvolvidos. Se os bancos usassem SSL corretamente e os usuários soubessem verificar o cadeado, este tipo de praga não seria problema.

Mas com os bancos usando SSL de forma errada, e agora com o DNSSEC, só podemos dar conselhos que se contradizem com a realidade. Quem perde com isso não são só os usuários, mas todos nós, porque a educação deles é que resolve vários dos problemas de segurança atualmente.

Friday, July 06, 2007 10:13 AM by Douglas Camargo

# re: Dominio b.br Garante Mais Segurança?

Tentando complementar a troca de informações...

Existe uma serie de outros tipos de ataques em que o DNSSEC atua... principalmente nos ataques onde se tenta poluir o cache do servidor recursivo. Pra quem atua diretamente na administracao deste tipo de servidores, sabe que isso é comum. Vale lembrar que o Windows Server usa dois bits a menos para geração do Id do protocolo DNS , facilitando ainda mais esse tipo de ataque.

Espero que tenha contribuido com a discussão.

Abracos

Friday, July 06, 2007 6:24 PM by fcima

# re: Dominio b.br Garante Mais Segurança?

Altieres, o uso incorreto do SSL é realmente um problema. Muita gente ainda pensa que SSL server somente para encriptar o dado na rede, quando na verdade a principal função é autenticar o servidor. Eu postei há algum tempo atrás sobre isso aqui no blog ("O problema é autenticar o servidor e não o cliente", http://blogs.technet.com/fcima/archive/2006/09/11/455474.aspx).

Mas a solução para esse problema é usar o SSL de forma correta, não o DNSSEC.

Voce também lembra bem que uma simples mudança no arquivo HOSTS é suficiente para bypassar o DNSSEC. Eu não entrei neste mérito nos meus posts porque eu assumo que se o computador do cliente foi invadido então nada pode ser feito, mas certamente depõe contra o DNSSEC que ele possa ser bypassado de forma tão trivial.

Friday, July 06, 2007 6:26 PM by fcima

# re: Dominio b.br Garante Mais Segurança?

Douglas, sem dúvida DNSSEC oferece proteção contra os ataques de poluição de cache. Meu ponto no entanto é outro - é que essa proteção é desnecessária porque o uso do SSL já oferece essa proteção.

Eu não entendi a questão dos bits. Pela minha documentação aqui o servidor DNS Microsoft usa os mesmos 16 bits de entropia para gerar os transaction IDs que as outras implementações. A quê você se refere?

Obrigado pela contribuição! Abracos.

Wednesday, January 16, 2008 7:46 AM by Segurança na Microsoft

# Onde Estão os Domínios B.BR?

Em junho do ano passado o Comitê Gestor da Internet anunciou com grande repercussão a criação do domínio

Sunday, January 04, 2009 8:39 AM by Negócio de Risco

# Suporte a DNSSEC no Windows Server 2008 R2 e Windows 7

Uma das novidades do Windows 7 e do Windows Server 2008 R2 (o “Windows 7 Server”) é o suporte a DNS Security

New Comments to this post are disabled
 
Page view tracker