Dominio b.br Garante Mais Segurança?

re: Dominio b.br Garante Mais Segurança?

Contestador — Mon, 02 Jul 2007 16:33:29 GMT

Eu discordo do seu ponto de vista.

O DNSSEC funciona em camadas mais baixas que outros sistemas de segurança. A questão mais importante aqui é resolver o problema de ataques do tipo "man-in-the-middle", onde o seu trafego de rede é monitorado por uma pessoa que simula ser seu servidor recursivo ou seu servidor autoritativo. NÃO existe uma maneira de solucionar este tipo de ataque com os atuais sistemas de segurança. Pois se o cliente acessa pela primeira vez o website do banco, não existe nenhum certificado em sua memória local que consiga validar as informações fornecidas pelo website do banco. Neste exato ponto entra conceitos essenciais de cadeia de confiança utilizando uma chave pública ancorada e requisições com validação de assinatura tanto no servidor recursivo quanto no próprio resolver.

re: Dominio b.br Garante Mais Segurança?

fcima — Mon, 02 Jul 2007 16:57:43 GMT

Oi Contestador,

O uso de SSL/TLS já resolve o problema de ataques do tipo "man-in-the-middle". Tentar resolver isso com DNSSEC é no mínimo redundante, ainda mais sendo menos segura que a forma já existente.

O fato do SSL/TLS trabalhar em uma camada mais alta é uma vantagem e não uma desvantagem, porque abstrai as vulnerabilidades eventualmente encontradas nas camadas abaixo.

E na verdade já existe na máquina do usuário os certificados das autoridades certificadoras raiz, que permitem validar o certificado do Web site do banco.

Abracos,

- Fernando Cima

re: Dominio b.br Garante Mais Segurança?

Alberto Oliveira — Mon, 02 Jul 2007 21:01:28 GMT

Cima,

O que eu tenho visto muito é uma tentativa de "consertar" o que se resolve com educação, utilizando recursos tecnológicos. Você acaba por aumentar demais a complexidade com um ganho de segurança mínimo.

Quem sabe um dia não se tenta fazer o contrário? Educar para depois configurar? :).

[]'s

Alberto

re: Dominio b.br Garante Mais Segurança?

Altieres Rohr — Tue, 03 Jul 2007 21:51:25 GMT

O comentário do Alberto Oliveira me lembra de um artigo do Larry Seltzer na eWeek, The Moon and the Spam Filter, exatamente sobre o assunto das soluções tecnológicas para problemas sociais:

http://www.eweek.com/article2/0,1895,1911795,00.asp

Como o Cima falou, é difícil crer que alguém vai reparar no "b" quando ninguém observa o cadeado (nem presta atenção nas mensagens de certificado expirado).

Exatamente por ser difícil de crer nisso é que se torna complicado convencer os desenvolvedores a implementar o DNSSEC no próprio sistema. E também fica impossível abafar outras soluções para o mesmo problema (EV-SSL).

No fim, ficam escolhas demais e o medo de jogar trabalho fora acaba fazendo com que ninguém escolha nada. Ou então uns escolhem A e outros B, o que torna ainda mais difícil de educar os usuários, que é exatamente o que resolveria este tipo de problema.

O pior é que isso tudo serve para bloquear um único tipo de golpe, que nem se sabe exatamente qual é a gravidade.

http://paesdebarros.com.br/2007/07/dnssec-e-domnio-bbr.html

TrackBack — Wed, 04 Jul 2007 11:44:29 GMT

re: Dominio b.br Garante Mais Segurança?

fcima — Wed, 04 Jul 2007 13:06:15 GMT

Excelente referência Altieres, obrigado pelo link. E você toca em um ponto importante que eu nem tinha me dado conta.

Nós sempre orientamos o usuário a não confiar na URL apresentada e sim verificar o cadeado, e por um bom motivo - existem dezenas de forma escrever uma URL que "pareça" ser a correta.

Agora com o b.br vamos dizer para o usuário confiar na URL?

re: Dominio b.br Garante Mais Segurança?

Altieres Rohr — Wed, 04 Jul 2007 21:07:53 GMT

Isto mesmo, Cima. Recebi um e-mail de um usuário confuso porque sempre achou que só poderia digitar seu usuário e senha de banco em páginas que tivessem o cadeado, mas vários bancos não utilizam SSL nas páginas com os formulários.

Aí o usuário me questiona se observar o cadeado é afinal necessário ou não. "É necessário sim. Mas se você observá-lo à risca, não poderá usar internet banking porque o banco não usa o SSL corretamente." Isto não é resposta que podemos dar aos usuários.

Creio que o ideal seria proteger a página inicial, mesmo que ela não tivesse formulário, já para que o usuário saiba que está no lugar certo. Mas não fazem nada disso.

Como podemos dizer a eles que apenas um site com o cadeado é seguro? Se dissermos isso, vão desconfiar dos sites de praticamente todos os bancos (e com razão), porque não usam SSL de forma correta.

Com isso chega o DNSSEC, oferecendo garantia do endereço visitado. De uma hora para outra, os usuários devem confiar na URL. E os trojans que mudam o arquivo hosts? O DNSSEC protege contra isso? Já vi vários destes (Banhosts) porque são mais simples de serem desenvolvidos. Se os bancos usassem SSL corretamente e os usuários soubessem verificar o cadeado, este tipo de praga não seria problema.

Mas com os bancos usando SSL de forma errada, e agora com o DNSSEC, só podemos dar conselhos que se contradizem com a realidade. Quem perde com isso não são só os usuários, mas todos nós, porque a educação deles é que resolve vários dos problemas de segurança atualmente.

re: Dominio b.br Garante Mais Segurança?

Douglas Camargo — Fri, 06 Jul 2007 17:13:40 GMT

Tentando complementar a troca de informações...

Existe uma serie de outros tipos de ataques em que o DNSSEC atua... principalmente nos ataques onde se tenta poluir o cache do servidor recursivo. Pra quem atua diretamente na administracao deste tipo de servidores, sabe que isso é comum. Vale lembrar que o Windows Server usa dois bits a menos para geração do Id do protocolo DNS , facilitando ainda mais esse tipo de ataque.

Espero que tenha contribuido com a discussão.

Abracos

re: Dominio b.br Garante Mais Segurança?

fcima — Sat, 07 Jul 2007 01:24:12 GMT

Altieres, o uso incorreto do SSL é realmente um problema. Muita gente ainda pensa que SSL server somente para encriptar o dado na rede, quando na verdade a principal função é autenticar o servidor. Eu postei há algum tempo atrás sobre isso aqui no blog ("O problema é autenticar o servidor e não o cliente", http://blogs.technet.com/fcima/archive/2006/09/11/455474.aspx).

Mas a solução para esse problema é usar o SSL de forma correta, não o DNSSEC.

Voce também lembra bem que uma simples mudança no arquivo HOSTS é suficiente para bypassar o DNSSEC. Eu não entrei neste mérito nos meus posts porque eu assumo que se o computador do cliente foi invadido então nada pode ser feito, mas certamente depõe contra o DNSSEC que ele possa ser bypassado de forma tão trivial.

re: Dominio b.br Garante Mais Segurança?

fcima — Sat, 07 Jul 2007 01:26:44 GMT

Douglas, sem dúvida DNSSEC oferece proteção contra os ataques de poluição de cache. Meu ponto no entanto é outro - é que essa proteção é desnecessária porque o uso do SSL já oferece essa proteção.

Eu não entendi a questão dos bits. Pela minha documentação aqui o servidor DNS Microsoft usa os mesmos 16 bits de entropia para gerar os transaction IDs que as outras implementações. A quê você se refere?

Obrigado pela contribuição! Abracos.

Onde Estão os Domínios B.BR?

Segurança na Microsoft — Wed, 16 Jan 2008 15:46:01 GMT

Em junho do ano passado o Comitê Gestor da Internet anunciou com grande repercussão a criação do domínio

Suporte a DNSSEC no Windows Server 2008 R2 e Windows 7

Negócio de Risco — Sun, 04 Jan 2009 16:39:28 GMT

Uma das novidades do Windows 7 e do Windows Server 2008 R2 (o “Windows 7 Server”) é o suporte a DNS Security