en

ICANN destaca vulnerabilidade do Sistema de Nomes de Domínio e fornece ferramentas | ICANN chama a atenção para importante problema de segurança na Internet

6 August 2008

Esta tradução em português é cortesia do NIC.br. Para mais informações sobre a ICANN em português, consulte http://www.icann.org.br/.

MARINA DEL REY, Calif.: A Corporação para Atribuição de Nomes e Números na Internet deseja chamar a atenção para um ponto fraco recentemente descoberto no sistema de nomes de domínio (DNS). Por isso, ela está lançando uma série de FAQs (perguntas freqüentes) e uma ferramenta on-line para que os operadores testem seus domínios.

Por causa da distribuição do DNS, nenhuma organização é capaz de implementar uma solução para esse ponto fraco. Isso exige a cooperação de todos os operadores de servidores de nomes e produtores de software para o DNS. No entanto, a ICANN julga ser muito importante despertar a consciência para a necessidade de atualizar a infra-estrutura da Internet a fim de enfrentar a ameaça. A organização tem tomado medidas urgentes para assessorar os operadores de domínios de primeiro nível nesse problema. Ela também preparou uma lista de FAQs e uma ferramenta on-line para teste de domínios, com o propósito de chamar a atenção para o problema e estimular os operadores de rede a corrigirem ou atualizarem seus servidores.

Resumo do problema de envenenamento de cache (cache poisoning)

Recentemente o pesquisador em segurança Dan Kaminsky descobriu uma falha de design no protocolo fundamental do DNS. Embora não seja possível consertar totalmente essa falha, existem maneiras de melhorar a resistência à falha. Isso significa que os administradores de sistemas devem corrigir ou reconfigurar seus servidores do DNS.

A vulnerabilidade afeta principalmente o que chamamos de servidores de nomes “recursivos”, que são mais comuns em ISPs ou gateways de redes corporativas para auxiliar pesquisas no DNS e obter resultados cache para pesquisas mais rápidas, do que no tipo de servidores de nomes usados por registros de domínios, que são servidores de nomes “obrigatórios”.

Contudo, os servidores de nomes podem ser configurados para desempenhar tanto funções “recursivas” quanto “obrigatórias” na mesma máquina, e assim a função recursiva suscetível pode trazer riscos à segurança da função obrigatória.

Para operadores de domínios

No caso de operadores de nomes de domínio, essa vulnerabilidade pode ser usada para afetar o conteúdo da sua zona, se suas funções obrigatórias também oferecerem o serviço de nomes recursivos. Para detectar se uma zona específica está vulnerável, a ICANN desenvolveu uma ferramenta que pode examinar um domínio em particular:

http://recursive.iana.org/

Os operadores de domínios devem verificar se todos os servidores de nomes oficiais do seu domínio estão separados de eventuais servidores de nomes recursivos, a fim de evitar que sejam afetados por ataques de envenenamento de cache.

A ICANN também elaborou uma série de perguntas e respostas sobre esse assunto para operadores de domínios, que está disponível em:

http://www.iana.org/reports/2008/cross-pollination-faq.html

Para usuários da Internet

Para a maioria dos usuários, é importante garantir que os servidores do DNS usados por seu computador para pesquisar domínios tenham sido corrigidos por patch para possibilitar a “randomização da porta de origem” (source port randomization). Para verificar se o seu provedor da Internet efetuou essa mudança, use a ferramenta de teste on-line oferecida pelo Centro de Operações, Análises e Pesquisas do DNS em:

https://www.dns-oarc.net/oarc/services/dnsentropy

Para estar protegido contra essa vulnerabilidade, o resultado do teste deve indicar “Great” (“ótimo”). Se você não obtiver esse resultado, fale com o administrador da sua rede (em geral seu ISP ou o departamento de TI da sua empresa) e recomende que ele atualize seus servidores de nomes recursivos.

Sobre a ICANN:

A ICANN é responsável pela coordenação global do sistema de identificadores exclusivos da Internet, como nomes de domínio (por exemplo, .org, .museum e códigos de países, como .uk) e os endereços usados em vários protocolos da Internet que ajudam os computadores a se comunicarem pela Internet. A administração cuidadosa desses recursos é vital para a operação da Internet, de modo que os participantes globais da ICANN se reúnem periodicamente para elaborar políticas que garantam a continuidade da segurança e estabilidade da Internet. A ICANN é uma entidade internacional sem fins lucrativos em benefício público. Para mais informações, visite: http://www.icann.org/.

Contatos com a imprensa:

Jason Keenan
Assessor de imprensa, ICANN (EUA)
Tel.: +1 310 382 4004
E-mail: jason.keenan@icann.org


Internacional: Andrew Robertson
Edelman (Londres)
Tel: +44 7921 588 770
E-mail: andrew.robertson@edelman.com