ICANN recomenda adoção imediata da DNSSEC

A Internet Corporation for Assigned Names and Numbers (ICANN) está recomendando a intensificação dos esforços do ecossistema para a instalação do protocolo DNSSEC (Domain Name System Security Extensions).

O protocolo DNSSEC existe desde 2009, mas a implementação não está generalizada. Menos de 20% dos registrars mundiais já o implementaram, de acordo com a Regional Internet address Registry for the Asia-Pacific region (APNIC). O registro.br é um deles.

Em linhas gerais, o DNSSEC permite ao usuário validar uma resposta de DNS, ao checar sua integridade, mesmo nos casos em que a resposta indique a não existência de um nome ou tipo. O novo protocolo foi criado com estas características para melhorar a segurança na resolução de nomes e, consequentemente, a confiança no sistema de nomes de domínio. O sistema utiliza criptografia de chaves públicas somente para a validação de assinaturas.

A adoção do DNSSEC permite  verificar a autenticidade de registros, garantir a segurança no uso do DNS por outros protocolos de segurança, como o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail) e ter uma plataforma para a distribuição de chaves também em outros protocolos. Mas está atrasada, porque até hoje era considerada opcional, explica Kris Beevers, co-fundador e CEO do fornecedor de DNS NS1.

No Brasil, por exemplo, os domínios B.BR, DEF.BR, JUS.BR, LEG.BR e MP.BR já usam o DNSSEC. Mas a utilização do protocolo é opcional para todos os demais domínios .br.

Além disso, o DNSSEC requer muito trabalho para implementar. Proprietários de domínios têm que garantir que os seus sites são assinados digitalmente. Uma parte dos domínios de nível superior (top domain levels) é assinada, mas a maioria dos domínios de segundo nível não são. ISPs e outros operadores de rede também devem configurar seus sistemas.

Ataques em todas as frentes
No comunicado em que pede o aumento do uso de tecnologias DNSSEC, a ICANN lembra que relatórios públicos recentes indicam que há um padrão de ataques multifacetados à infraestrutura da Internet, utilizando diferentes metodologias.

“Alguns dos ataques visam o DNS, no qual são feitas alterações não autorizadas na estrutura de delegação de nomes de domínio, substituindo os endereços dos servidores pretendidos por endereços de máquinas controladas pelos invasores.  Segundo a entidade, esse tipo específico de ataque, que tem como alvo o DNS , só funciona quando o DNSSEC não está em uso”, explica a entidade.

“As empresas que são os alvos potenciais – em particular aquelas que capturam ou expõem dados de usuários e corporações através das suas aplicações – deveriam atender a estas recomendações da ICANN e deveriam pressionar os seus fornecedores de DNS e registrars a adotar as boas práticas do DNSSEC e outras boas práticas de segurança padronizadas, mais fáceis de implementar”, explica Beevers.

A ICANN é uma organização que pensa a longo prazo, diz ele. Por isso, na sua opinião, a urgência que a recomendação deixa transparecer – “alerta” e “risco significativo e contínuo” – é reveladora. “A entidade acredita que passou a ser crítico para o ecossistema, a indústria e consumidores da infraestrutura de domínio, empreender ações urgentes para assegurar que a adoção de DNSSEC de todos os domínios que ainda não o fizeram”, explica Beevers.

No último dia 15 de fevereiro, em resposta a denúncias de ataques contra partes fundamentais da infraestrutura do DNS , a ICANN ofereceu uma lista de verificação das precauções de segurança recomendadas para membros da indústria de nomes de domínio. Convém checar.

Para mais informações consulte os Tutoriais de DNS e DNSSEC do registro.br.