ICANN recomenda adopção imediata da DNSSEC

Os ataques constantes a serviços disponibilizados em domínios de topo levaram a ICANN a recomendar aos utilizadores de DNS empresariais a pedir aos fornecedores de serviços DNSSEC para bloquear esses ataques que podem comprometer os dados empresariais.

ICANN recomenda adopção imediata da DNSSECOs actores maliciosos continuam a ser um risco substancial em locais chave da Internet e às infra-estruturas de segurança dos sistema de nomes de domínio (DNS). A tal ponto que a Internet Corporation for Assigned Names and Numbers (ICANN) está a pedir a intensificação dos esforços do ecossistema para instalar tecnologia de segurança DNS mais forte.

Concretamente a ICANN está a recomendar o desenvolvimento total das extensões de segurança DNS (DNSSEC) em todos os nomes de domínio não seguros. Os DNS, muitas vezes chamados de “páginas amarelas da internet”, faz parte de uma infra-estrutura global de internet que traduz para linguagem comum os nomes de domínio e os endereços IP que os computadores precisam para aceder a websites ou enviar correio electrónico. As DNSSEC acrescentam uma camada de segurança sobre o DNS.

A tecnologia DNSSEC existe desde 2010, mas a implementação não está generalizada. Menos de 20% dos registrars mundiais já o implementaram, de acordo com a Regional Internet address Registry for the Asia-Pacific region (APNIC).

Adopção de DNSSEC está atrasada

A adopção de DNSSEC está atrasada, porque foi considerada opcional, porque implica um compromisso entre a segurança e a funcionalidade disse Kris Beevers, co-fundador e CEO do fornecedor de DNS NS1.

A DNSSEC previne ataques que podem comprometer a integridade das respostas dos pedidos DNS ao assinar e cifrar registos DNS para verificar a sua autenticidade, explica Beevers.

“No entanto, a maioria das implementações são incompatíveis com os requisitos DNS actuais, incluindo a configuração de DNS redundantes ou respostas dinâmicas de funções de gestão de tráfego assentes em DNS”, assinala Beevers. “As implementações legacy de DNSSEC impedem funções básicas como o roteamento geográfico e é difícil de implementar em vários fornecedores, o que se traduz num desempenho pobre e na redução da disponibilidade para os utilizadores finais”.

A implementação global do DNSSEC garante que os utilizadores finais se estão a ligar de facto ao web site ou a outro serviço correspondente a um determinado nome de domínio, assinala a ICANN. “Embora não resolva a totalidade dos problemas de segurança da Internet, protege um peça crítica – a pesquisa de directório – complementando outras tecnologias, como a SSL (https://) que protege a “conversa” disponibiliza uma plataforma para melhorias de segurança ainda por desenvolver”, explica a ICANN.

Ataques de todas as frentes

Num comunicado em que pede o incremento da utilização de tecnologias DNSSEC, a ICANN assinalou que relatórios recentes revelam um padrão de ataques multifacetados, utilizando diferentes metodologias.

“Alguns ataques visam o DNS, no qual são feitas alterações não autorizadas à estrutura delegada de nomes de domínio, substituindo o endereço dos servidores pretendidos por endereços de máquinas controladas pelos atacantes. Este tipo específico de ataque apenas é possível quando não estão a ser utilizadas tecnologias DNSSEC” afirma o ICANN.

“As empresas que são os alvos potenciais – em particular aquelas que capturam ou expõem dados de utilizadores e empresariais através das suas aplicações – deveriam atender a estas recomendações da ICANN e deveriam pressionar os seus fornecedores de DNS e registrars a tornar as boas práticas da DNSSEC e outras boas práticas de segurança mais fáceis de implementar e padronizadas. Estes podem facilmente implementar a assinatura DNSSEC e outras boas práticas de segurança disponíveis com a tecnologia que existe neste momento no mercado”, explica Beevers. Pelo menos poderiam trabalhar com os seus fornecedores e equipas de segurança para auditar as suas implementações tendo em conta a “checklist” da ICANN e outras boas práticas como a disponibilização de redundância da rede para proteger-se de ataques DDoS cujo alvo são infra-estruturas DNS, assinalou Beevers.

A ICANN é uma organização que tipicamente pensa a longo prazo, está a falar-se de décadas, por isso a urgência que a recomendação deixa transparecer – “alerta” e “risco significativo e contínuo” – é reveladora. Acreditam que é crítico para o ecossistema, indústria e consumidores da infra-estrutura de domínio empreender acções urgentes para assegurar que a adopção de DNSSEC de todos os domínios que ainda não o fizeram, explica Beevers.

Leia o artigo original e na íntegra na NetWorkWorld.

A ICANN disponibiliza uma lista cuidados de segurança recomendados (checklist) que os membros da indústria de nomes de domínio, registries, registrars, revendedores e outros interessados devem adoptar para proteger os seus sistemas e os sistemas e informação dos seus clientes acessíveis através de DNS.




Deixe um comentário

O seu email não será publicado