|
Fabricantes de software utilizado para ligar computadores à Internet lançaram actualizações aos programas para corrigir um bug grave no protocolo DNS (Domain Name System).
O bug podia ser explorado através do envio de alguns tipos de questionários aos servidores de DNS, tornando assim possível a um atacante redireccionar as suas vítimas de páginas Web legítimas para outras perigosas, sem que a vítima disso se apercebesse. Este tipo de ataque tem o nome de “DNS cache poisoning”, e não afecta apenas a Web – um hacker pode, em teoria, recorrer a esta técnica para redireccionar todo o tráfego de Internet para os seus próprios servidores. Dito de outra forma, o bug pode ser explorado “como um ataque de phishing sem no entanto ser necessário enviar mensagens de correio electrónico”, explica Wolfgang Kandek, CTO da empresa de segurança Qualys.
Ainda que esta falha não afecte alguns routers domésticos e algum software DNS client, ela pode ser problemática para utilizadores empresariais e para ISP que recorrem a servidores DNS utilizados por computadores normais para se orientarem na Internet.
Esse bug foi descoberto por acaso por Dan Kaminsky, investigador do fabricante de produtos de segurança IOActive. Após a descoberta, Kaminsky reuniu um grupo de 16 especialistas de segurança responsáveis por produtos de DNS para que uma solução fosse encontrada. “A única forma de resolver o problema era uma solução que fosse lançada em simultâneo em todas as plataformas”, disse Kaminsky. Assim, alguns dos fornecedores de softwre DNS – como a Microsoft, a Cisco, a Red Hat, a Sun Microsystems e a Internet Software Consortium – actualizaram o seu software para resolver o problema. O software de código aberto BIND (Berkeley Internet Name Domain) do Internet Software Consortium corre em cerca de 80% de todos os servidores de DNS da Internet. Para a maioria dos utilizadores do BIND, corrigir o bug será simples, bastando actualizar o software. Mas para aqueles que ainda não migraram para a versão mais recente do software a solução poderá ser um pouco mais complicado. De acordo com o gestor de programas sénior do Internet Software Consortium João Damas, isso porque as versões mais antigas do BIND têm algumas funcionalidades bastante populares que foram alteradas com o lançamento do BIND 9. O bug detectado por Kaminsky está relacionado com a forma como os dispositivos clientes e servidores DNS obtêm informação de outros servidores DNS da Internet. Quando o software de DNS não conhece o endereço de IP numérico de um computador, vai pedir a outro servidor de DNS essa informação. O método de “envenamento de cache” procura enganar o software de DNS com informações que dizem que domínios legítimos têm endereços de IP nocivos. É verdade que os investigadores de segurança já conhecem há muito este método, mas normalmente não lhe prestavam muita atenção, uma vez que estes ataques exigem o envio de uma grande quantidade de informação para o servidor que pretendem infectar. Isso torna os ataques fáceis de detectar e de bloquear. No entanto, a falha detectada por Kaminsky torna a realização de um “envenamento de cache” muito mais fácil, pois a falha reside no desenho do próprio DNS. Não há, por isso, uma forma simples de resolver o problema; o que foi feito, basicamente, foi adicionar uma nova medida de segurança que torna o processo mais complexo.
A longo prazo, porém, a forma mais eficiente para lidar com o “envenenamento da cache” passará pela adopção de uma versão de DNS mais segura – a DNSSEC. |
Tecnologias 
A despesa dos organismos da Administração Pública com tecnologias de informação e comunicações (TIC) foi ligeiramente inferior a 449 milhões de euros no ano passado, o que corresponde a um crescimento de 4,1% relativamente à despesa realizada por estes organismos no ano anterior. Contudo, e apesar deste crescimento, a despesa com estas tecnologias foi inferior às verbas que tinham sido inscritas no Orçamento de Estado para 2007 – 482 milhões de euros. Estas são algumas das conclusões que se podem retirar da análise da Conta Geral do Estado de 2007 (CGE 2007) publicada recentemente pela Direcção-Geral do Orçamento. 