ICANN exige que o DNSSEC combata o sequestro de DNS

O Sistema de Nomes de Domínio (DNS), é uma massa de números de rede sem nomes de servidores amigáveis, como example.net, está sob ameaça dos ciberataque e do superintendente de domínio que a ICANN quer que as empresas de internet façam algo sobre isso.

Essa foi a mensagem do comunicado de imprensa preocupado da semana passada da ICANN (Corporação da Internet para Atribuição de Nomes e Números).

Essa mensagem vem logo após os avisos alarmantes do Departamento de Segurança Interna (DHS) dos EUA, alarmados com a recente série de ataques ao DNS. Os ataques tentam dominar domínios de e-mail e da web, desviando o tráfego para servidores impostores.

A solução, de acordo com a ICANN, é que as empresas que fornecem a infra-estrutura do DNS implementem uma camada de segurança do DNS chamada DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) o mais rápido possível:

“A ICANN está solicitando a implantação total do DNSSEC em todos os nomes de domínio não seguros”

Quase 20 anos após o DNSSEC ter sido proposto pela primeira vez, ele continua sendo um trabalho em um progresso muito lento que muitas empresas da Internet optaram por ignorar.

De acordo com o registro da APNIC, apenas cerca de 20% dos servidores de DNS do mundo mostram sinais de usá-lo.

Agora, finalmente, parece haver alguma urgência.

Em novembro, a Cisco Talos escreveu sobre uma campanha cibernética em larga escala destinada ao Líbano e aos Emirados Árabes Unidos, cujo centro era um tráfego de campanha de seqüestro de DNS sofisticado o suficiente não apenas para redirecionar o tráfego, mas para comprometer certificados SSL e túneis VPN.

Desde então, campanhas semelhantes foram documentadas por outros que apontam para o comprometimento bem-sucedido da infraestrutura de DNS de dezenas de organizações em pelo menos 11 países, incluindo a Suécia e os EUA.

Usando o DNSSEC, as pesquisas de nomes e atualizações são verificadas por assinaturas criptográficas, o que torna o protocolo DNS, de outra forma simples, mais complexo e demorado.

A complexidade adicional no gerenciamento da infra-estrutura de chave pública (PKI) necessária para fazer o trabalho do DNNSEC significa custos mais altos que os ISPs prefeririam dispensar para um sistema que talvez não acrescentasse muita segurança inicialmente.

Por outro lado, passar pelas longas e difíceis verificações manuais que a ICANN e outros recomendam agora para a segurança do DNS na ausência de DNSSEC pode ser ainda pior.

O que fazer?

Independentemente de você estar usando o DNSSEC ou não, repetiremos os conselhos de segurança emitidos em uma recente diretiva de emergência do Departamento de Segurança Interna dos EUA:

Verifique se todos os domínios importantes estão resolvidos para o endereço IP correto e não foram adulterados.
Altere as senhas de todas as contas usadas para gerenciar registros de domínio.
Ative a autenticação multfator para proteger as contas de administrador.
Monitore logs de Transparência de Certificados (CT) para certificados TLS recém-emitidos que possam ter sido emitidos por um ator mal-intencionado.

ICANN exige que o DNSSEC combata o sequestro de DNS

O que fazer?

Relacionado

1 comment

Rússia acusada de campanha Spoofing via GPS | SdRedes

Deixe uma resposta Cancelar resposta

CATEGORIAS

ÚLTIMAS NOTÍCIAS

Programador belga resolve quebra-cabeça de criptografia – 15 anos cedo demais!

Criminosos estão se escondendo no Telegram – mas backdoors não são a resposta

Mantendo seus dados seguros ao viajar

iLnkP2P: Milhões de dispositivos smarts de consumidores expostos por grave falha de segurança

Como fazer um controle fácil de diretivas de acesso