No final de fevereiro de 2019, a Internet Corporation for Assigned Names and Numbers (ICANN), a organização que gerencia os endereços IP e nomes de domínio usados ​​na web, emitiu um alerta sobre os riscos de ataques sistêmicos da Internet. Aqui está o que você precisa saber sobre o que está em jogo.

O que é DNS?

O Domain Name Service (DNS) vincula um nome de domínio (por exemplo, o domínio ameli.fr para seguro de saúde francês) para um endereço IP (Internet Protocol), neste caso "31.15.27.86"). Este agora é um serviço essencial, pois facilita a memorização dos identificadores dos serviços digitais sem ter seus endereços. Ainda, como muitos tipos anteriores de protocolo, foi projetado para ser robusto, mas não seguro.

O DNS define as áreas nas quais uma autoridade terá liberdade para criar nomes de domínio e comunicá-los externamente. A vantagem desse mecanismo é que a associação entre o endereço IP e o nome de domínio é gerenciada de perto. A desvantagem é que várias consultas às vezes são necessárias para resolver um nome, em outras palavras, associe-o a um endereço.

Muitas organizações que oferecem serviços de Internet têm um ou vários nomes de domínio, que estão registrados com os fornecedores deste serviço de registro. Esses provedores de serviços são eles próprios registrados, direta ou indiretamente com ICANN, uma organização americana encarregada de organizar a Internet. Na França, a organização de referência é a AFNIC, que gerencia o domínio ".fr".

Freqüentemente nos referimos a um nome de domínio totalmente qualificado, ou FQDN. Na realidade, a Internet é dividida em domínios de nível superior (TLD). Os domínios americanos iniciais tornaram possível dividir os domínios por tipo de organização (comercial, universidade, governo, etc.). Em seguida, domínios nacionais como ".fr" apareceram rapidamente. Mais recentemente, ICANN autorizou o registro de uma ampla variedade de domínios de primeiro nível. As informações relacionadas a esses domínios de primeiro nível são salvas em um grupo de 13 servidores distribuídos ao redor do globo para garantir confiabilidade e rapidez nas respostas.

O protocolo DNS estabelece a comunicação entre a máquina do usuário e um servidor de nomes de domínio (DNS). Esta comunicação permite que este servidor de nomes seja consultado para resolver um nome de domínio, em outras palavras, obtenha o endereço IP associado a um nome de domínio. A comunicação também permite que outras informações sejam obtidas, como localizar um nome de domínio associado a um endereço ou localizar o servidor de mensagens associado a um nome de domínio para enviar uma mensagem eletrônica. Por exemplo, quando carregamos uma página em nosso navegador, o navegador executa uma resolução DNS para encontrar o endereço correto.

Devido à natureza distribuída do banco de dados, frequentemente, o primeiro servidor contatado não sabe a associação entre o nome de domínio e o endereço. Em seguida, ele entrará em contato com outros servidores para obter uma resposta, por meio de um processo iterativo ou recursivo, até consultar um dos 13 servidores raiz. Esses servidores formam o nível raiz do sistema DNS.

Para evitar a proliferação de consultas, cada servidor DNS armazena localmente as respostas recebidas que associam um nome de domínio e endereço por alguns segundos. Este cache possibilita uma resposta mais rápida se a mesma solicitação for feita em um breve intervalo.

Protocolo vulnerável

DNS é um protocolo de uso geral, especialmente nas redes da empresa. Portanto, pode permitir que um invasor ignore seus mecanismos de proteção para se comunicar com as máquinas comprometidas. Isso poderia, por exemplo, permitir que o invasor controle as redes de robôs (botnets). A resposta da defesa depende da filtragem mais específica das comunicações, por exemplo, exigir o uso sistemático de uma retransmissão DNS controlada pela organização vítima. A análise dos nomes de domínio contidos nas consultas DNS, que estão associados a listas negras ou brancas, é usado para identificar e bloquear consultas anormais.

O protocolo DNS também possibilita ataques de negação de serviço. Na verdade, qualquer um pode emitir uma consulta DNS para um serviço assumindo um endereço IP. O servidor DNS responderá naturalmente ao endereço falso. O endereço é na verdade a vítima do ataque, porque recebeu tráfego indesejado. O protocolo DNS também possibilita a realização de ataques de amplificação, o que significa que o volume de tráfego enviado do servidor DNS para a vítima é muito maior do que o tráfego enviado do invasor para o servidor DNS. Portanto, torna-se mais fácil saturar o link de rede da vítima.

O próprio serviço DNS também pode se tornar vítima de um ataque de negação de serviço, como foi o caso do DynDNS em 2016. Isso desencadeou falhas em cascata, uma vez que certos serviços dependem da disponibilidade de DNS para funcionar.

A proteção contra ataques de negação de serviço pode assumir várias formas. O mais comumente usado hoje é a filtragem do tráfego de rede para eliminar o tráfego em excesso. Anycast também é uma solução crescente para replicar os serviços atacados, se necessário.

Envenenamento de cache

Uma terceira vulnerabilidade amplamente usada no passado é atacar o link entre o nome de domínio e o endereço IP. Isso permite que um invasor roube o endereço de um servidor e atraia o próprio tráfego. Ele pode, portanto, "clonar" um serviço legítimo e obter informações confidenciais dos usuários enganados:nomes de usuário, senhas, informações de cartão de crédito, etc. Este processo é relativamente difícil de detectar.

Como mencionado, os servidores DNS têm a capacidade de armazenar por alguns minutos as respostas às perguntas que emitiram e de usar essas informações para responder diretamente às perguntas subsequentes. O chamado ataque de envenenamento de cache permite que um invasor falsifique a associação dentro do cache de um servidor legítimo. Por exemplo, um invasor pode inundar o servidor DNS intermediário com consultas e o servidor aceitará a primeira resposta correspondente à sua solicitação.

As consequências duram pouco tempo, as consultas feitas ao servidor comprometido são desviadas para um endereço controlado pelo invasor. Uma vez que o protocolo inicial não inclui nenhum meio para verificar a associação de domínio-endereço, os clientes não podem se proteger contra o ataque.

Isso geralmente resulta em fragmentos de Internet, com os clientes se comunicando com o servidor DNS comprometido sendo desviado para um site malicioso, enquanto os clientes que se comunicam com outros servidores DNS são enviados ao site original. Para o site original, este ataque é virtualmente impossível de detectar, exceto por uma diminuição nos fluxos de tráfego. Essa diminuição no tráfego pode ter consequências financeiras significativas para o sistema comprometido.

Certificados de segurança

O objetivo do DNS seguro (Extensões de Segurança do Sistema de Nomes de Domínio, DNSSEC) é para prevenir este tipo de ataque, permitindo que o usuário ou servidor intermediário verifique a associação entre o nome de domínio e o endereço. Baseia-se no uso de certificados, como os usados ​​para verificar a validade de um site (o pequeno cadeado que aparece na barra de um navegador). Em teoria, uma verificação do certificado é tudo o que é necessário para detectar um ataque.

Contudo, esta proteção não é perfeita. O processo de verificação das associações "domínio-endereço IP" permanece incompleto. Isso ocorre em parte porque vários registros não implementaram a infraestrutura necessária. Embora o próprio padrão tenha sido publicado há quase quinze anos, ainda estamos aguardando a implantação da tecnologia e estruturas necessárias. O surgimento de serviços como o Let's Encrypt ajudou a difundir o uso de certificados, que são necessários para uma navegação segura e proteção DNS. Contudo, o uso dessas tecnologias por registros e provedores de serviços permanece desigual; alguns países são mais avançados do que outros.

Embora existam vulnerabilidades residuais (como ataques diretos aos registros para obter domínios e certificados válidos), O DNSSEC oferece uma solução para o tipo de ataques denunciados recentemente pela ICANN. Esses ataques contam com fraude de DNS. Para ser mais preciso, eles contam com a falsificação de registros DNS nos bancos de dados de registro, o que significa que esses registros estão comprometidos, ou são permeáveis ​​à injeção de informações falsas. Esta modificação da base de dados de um cadastro pode ser acompanhada pela injeção de um certificado, se o invasor planejou isso. Isso torna possível contornar DNSSEC, no pior cenário.

Essa modificação dos dados do DNS implica em uma flutuação nos dados de associação do endereço IP do domínio. Essa flutuação pode ser observada e possivelmente acionar alertas. Portanto, é difícil para um invasor passar completamente despercebido. Mas, uma vez que essas flutuações podem ocorrer regularmente, por exemplo, quando um cliente muda de fornecedor, o supervisor deve permanecer extremamente vigilante para fazer o diagnóstico correto.

Instituições visadas

No caso dos ataques denunciados pela ICANN, havia duas características significativas. Em primeiro lugar, eles estiveram ativos por um período de vários meses, o que implica que o atacante estratégico foi determinado e bem equipado. Em segundo lugar, eles efetivamente direcionaram sites institucionais, o que indica que o atacante tinha uma forte motivação. Portanto, é importante dar uma olhada nesses ataques e compreender os mecanismos que os invasores implementaram para retificar as vulnerabilidades, provavelmente reforçando as boas práticas.

A promoção do protocolo DNSSEC pela ICANN levanta questões. Claramente, deve se tornar mais difundido. Contudo, não há garantia de que esses ataques teriam sido bloqueados pelo DNSSEC, nem mesmo que teriam sido mais difíceis de implementar. Uma análise adicional será necessária para atualizar o status da ameaça à segurança do protocolo e do banco de dados DNS.

Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.