computadores sozinhos, ao receberem um “nome de destino” a atingir, não sabem de antemão qual o endereço (IP) associado a esse nome de destino. Mas uma sólida estrutura distribuída e colaborativa trabalha para resolver esse problema. Tratase do Sistema de Nomes de Domínio (DNS), distribuído a partir da raiz da rede para milhares e milhares de computadores, que se encarregará de, após perguntar a quem de direito, resolver o endereço de um determinado local da rede, seja de provedor, operadora, serviço ou, simplesmente, outra máquina conectada. Lamentavelmente, o DNS não está imune à interferência desses “terceiros” mal-intencionados, que podem fazer-se passar por um “integrante” da estrutura DNS e fornecer uma informação deliberadamente incorreta. A solução para esse problema é a introdução de DNSSEC – uma extensão de segurança ao protocolo DNS −, que possibilita a verificação no destino, de que a resposta gerada na origem da informação seguiu intocada e inalterada. Dessa forma, implantado em toda a cadeia, desde o provedor de DNS até o computador que gerou a consulta, teremos certeza de que o Banco do Caju fica, realmente, na Rua Sete. O DNSSEC, implementado progressivamente nos domínios “.br” desde 2007, funciona de forma efetiva no cenário aqui descrito. Quando um computador pergunta o endereço correspondente a um determinado nome, recebe uma resposta de uma fonte absolutamente confiável, íntegra ou mesmo que lhe diga que “esse endereço não existe”, se for o caso.
O “.br”, do Brasil é um dos domínios de topo (TLDs) pioneiros na implantação de DNSSEC, que hoje se espalha cada vez mais. E criou subdomínios que exigem o uso de DNSSEC em toda a sua população. É o caso do jus. br, que o Judiciário adotou em toda sua linha, e o b.br, para os Bancos, cuja divulgação ainda não ganhou a popularidade que merece. Uma vantagem adicional muito importante é que esses dois subdomínios, além do DNSSEC obrigatório, são fechados a comunidades específicas, o que gera uma garantia adicional de segurança ao internauta. Sob o jus.br, apenas sites do Judiciário podem ser alocados, e o mesmo se passa sob o b.br: apenas bancos oficiais no País podem exibir um endereço que termina em b.br. Dessa forma, a garantia ao internauta é dupla: ao acessar um nome de domínio que termina em b.br, ou ele receberá uma resposta de que o nome não existe ou receberá o endereço correto (IP) associado ao banco em questão. Ambas respostas com autoridade e segurança de integridade. Apesar de os bancos, tecnicamente, terem aderido ao b.br, e a grande
maioria responder adequadamente no novo subdomínio com DNSSEC, instituições financeiras brasileiras ainda vacilam em fazer o esforço de propaganda e marketing necessário para difundir o uso entre seus clientes. Ao não se valer do espaço segregado constituído pelo b.br, mesmo que adotem DNSSEC estarão compartilhando um universo de milhões de nomes semelhantes, o que facilita aos que usam outra forma de “desencaminhar” usuários, por exemplo, levando-os ao banco do Juca ao invés do banco do Caju. Essa prática, conhecida como phishing, não será descrita agora, mas é uma das fraudes que mais dano causam na Internet. Sob o b.br, apenas o banco do Caju existiria, considerando-se que se trata de um espaço restrito a bancos oficiais. O banco de Juca teria que “pescar” usuários em outras águas, “turvas”, dado que as águas do b.br não poderiam ser contaminadas por ele. SAIBA MAIS
Para mais informações sobre a extensão de segurança para o DNS, verifique o FAQ do serviço de registro em http://registro.br/faq/faq8.html
OUTUBRO | 2010 | 45