Home > Notícias

Falha no DNS ainda abre chance para ataques

E-mails, atualizações de software, sites com SSL e sistemas de recuperação de senhas podem ser alvos de ataque, diz Dan Kaminsky.

IDG News Service/EUA

07/08/2008 às 9h05

Foto:

Dan Kaminsky, o especialista que descobriu em julho uma falha grave no DNS (domain name system), sistema de nomes de domínio na internet,  revelou  que a rede está sujeita a uma série de possíveis ataques a URLs.

Durante a conferência de segurança Black Hat, na quarta-feira (06/08), em São Francisco (EUA), o especialista, que vem trabalhando desde o mês passado com fornecedores de software e empresas de internet para corrigir a falha, detalhou o problema e falou sobre o trabalho que tem feito para corrigir serviços essenciais de internet que poderiam ser afetados.

Leia também:
> Demi Getschko: falha força atualização de provedores
> Brasileiros estão sujeitos a falha que forja URLs

A falha também pode ser usada para comprometer mensagens de e-mail, atualizações de software e até sistemas de recuperação de senhas oferecidos em sites bastante populares.

Explorando uma série de bugs na forma como o protocolo DNS funciona, Kaminsky descobriu que era possível enviar uma série de informações incorretas aos servidores, que direcionam os internautas na grande rede. A falha poderia ser explorada por criminosos para redirecionar vítimas a sites falsos, mesmo com os endereços verdadeiros.

E embora muitos tenham pensado que as conexões SSL (Secure Socket Layer) estavam livres de ataques, Kaminsky também mostrou que até mesmo os certificados de segurança SSL, usados para confirmar a validade de web sites, podem ser driblados em um ataque de DNS.  O problema, segundo ele, é que as companhias que emitem os certificados SSL usam serviços como e-mail e a web para validá-los. "Imagine o quão seguro é isso diante de um ataque de DNS", observou. "Não muito."

Além de empresas de DNS, Kaminsky disse que trabalhou com companhias como Google, Facebook, Yahoo e eBay para corrigir vários problemas relacionados às falhas. "Não quero ver a conta do meu celular este mês", brincou.

Outro alvo de ataques é o sistema de recuperação de senhas (a seção "esqueceu sua senha"), alertou segundo Kaminsky. Isso afeta muitas empresas que possuem sistemas de recuperação de senhas baseados na internet. Criminosos poderiam alegar ter esquecido uma senha em um determinado site e então usar as técnicas para enganar o site e pedir o envio da senha a seus computadores.

Embora alguns participantes da conferência tenham considerado os alertas de Kaminsky exagerados, o CEO (Chief Executive Officer) do OpenDNS, David Ulevitch, disse que o pesquisador da IOActive prestou um serviço valioso à comunidade de internet. "O escopo total do ataque ainda está para ser totalmente descoberto. Isso afeta cada um dos usuários de internet."

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail