DNS – A SUA IMPORTÂNCIA NO FUNCIONAMENTO DA INTERNET

Observando os indicadores estatísticos relativos à utilização da Internet (Usage and Populations Statistics, 2011), com referência a março de 2011, verifica-se que existem cerca de 30.2% de utilizadores face à população mundial estimada em 6.8 milhões de pessoas.

Se tomarmos em conta os indicadores disponíveis para a Europa, evidencia-se que o valor percentual de utilizadores está próximo dos 58.3%, sendo conhecido que o mesmo regista uma taxa de crescimento superior a 353% no período compreendido entre janeiro de 2000 e março de 2011. Se tomarmos em conta os dados disponíveis para os Estados Unidos da América, os indicadores de utilização são ainda mais expressivos com um volume de internautas a fixar-se nos 78.3%, associado a uma taxa de crescimento de 151.7% para o mesmo período que indicado para a Europa.

A Figura 1.1 apresenta o detalhe relativo a estes indicadores, bem como os elementos estatísticos relativos às demais áreas geográficas disponíveis no estudo.

Figura 1.1 – Taxa de penetração da Internet na população mundial

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% TOTAL MUNDIAL Oceânia / Austrália América latina EUA Médio oriente Europa Ásia Africa

1.1 – Enquadramento 3 A quase totalidade dos serviços utilizados na Internet – desde as redes sociais, o serviço de correio eletrónico, acesso a conteúdos na web, ou mesmo o acesso à generalidade dos serviços telemáticos, envolvem a troca de informação privada e por isso sensível.

E a evolução natural é que o nível de utilização da Internet e serviços nesta disponibilizados continuem a ser incrementados, se atendermos a que os utilizadores promovem a substituição das suas tradicionais tarefas por aplicações na Internet (E- Banking, E-Government, E-Learning entre outros) procurando um acesso mais rápido aos serviços, e independente de horários ou localização geográfica. Em simultâneo o leque de dispositivos disponíveis para acesso à Internet vem sendo diversificado, com a utilização massificada de smartphones, PDA (Personal Digital Assistant), tablet, smart TV e consolas de jogos.

Dada a disparidade de formas de conetividade à Internet entre as tecnologias fixas – ADSL (Asymmetric Digital Subscriber Line), fibra ótica ou cabo coaxial, e as móveis – GSM (Global System for Mobile Communications), GPRS (General Packet Radio Service), EDGE (Enhanced Data rates for GSM Evolution), UMTS (Universal Mobile Telecommunications System), LTE (Long Term Evolution), entre outros, conduzem a que os utilizadores disponham dum acesso quase permanente à Internet.

Adicionalmente, existem também imposições governamentais que forçam a que mesmo os utilizadores mais receosos migrem também os seus hábitos para a utilização da Internet (parte dos serviços prestados pela Administração Pública são incentivados a serem tratados exclusivamente online).

Torna-se assim imperioso assegurar que o acesso de um utilizador, a um serviço ou aplicação em rede seja fiável, havendo garantia de que a concretização do acesso ao destino é àquele que realmente se pretende e não outro que se faz passar pelo genuíno.

Haverá naturalmente outras preocupações, como sejam a garantia dos conteúdos trocados, bem como a inibição de acesso aos dados, que estão fora do âmbito do presente trabalho.

4 CAPÍTULO 1. INTRODUÇÃO O acesso a cada serviço de Internet, assenta no sistemas de resolução de nomes de domínio, Domain Name System (DNS), o qual permite a obtenção de um endereço IP (versão 4 ou versão 6) a partir de um dado nome. Permite também a operação inversa, com a obtenção de um nome a partir de um endereço.

Atenta esta função de base necessária ao correto funcionamento da Internet, as aplicações amplamente difundidas e disponibilizadas aos utilizadores dependem, em primeira instância, da segurança e estabilidade proporcionadas pelo DNS.

De acordo com a informação estatística relativa aos sistemas de DNS disponíveis na Internet (The Measurement Factory, 2010), deteta-se que existem atualmente em operação cerca de 11 milhões de servidores públicos de DNS. Se alguns são operados com elevados requisitos de disponibilidade e segurança, outros há que são geridos de forma muito elementar. Este facto, que veio a ser uma das virtualidades do sucesso da Internet, permitindo envolver na mesma rede agentes com práticas de gestão muito diversas, representa por outro lado um desafio do ponto de vista de segurança.

Cerca de 52% dos sistemas DNS permitem a realização de consultas arbitrárias – potenciando desta forma os incidentes por negação de serviço (Cheung, 2006). Mesmo que apenas uma pequena parcela da infraestrutura de DNS fique indisponível por um curto período de tempo, tal situação pode causar perturbação na totalidade da Internet. A facilidade com que estes incidentes podem ser concretizados está em boa parte associada ao facto do serviço de DNS utilizar maioritariamente o protocolo UDP, o que o torna particularmente vulnerável a técnicas de spoofing.

Sobre estes servidores, recai também o risco de ocorrência de incidentes de segurança denominados de envenenamento de cache (Trostle, Van Besien, & Pujari, 2010). Neste caso, um potencial intruso envia uma resposta DNS modificada de uma consulta sua, para forjar os dados de um cliente. Pese embora o facto de que para se conseguir concretizar este ataque ao DNS seja necessário obter o ID da consulta realizada por um dado cliente, o ataque de Kaminsky (Alexiou, Basagiannis, Katsaros, Dashpande, & Smolka, 2010) demonstrou que tal é possível de se conseguir com relativa facilidade.

1.1 – Enquadramento 5 De acordo com o mesmo estudo, observa-se que cerca de 31% dos servidores existentes permitem operações de transferência de zonas, capacitando assim um acesso indevido à totalidade da informação por si armazenada. A possibilidade de transferência integral de informação de zona deve ser limitada para um conjunto de acessos restritos.

Adicionalmente o estudo evidência que cerca de 33% dos servidores autoritativos de uma dada zona estão fisicamente alojados no mesmo segmento de rede, facilitando desta forma a possibilidade de ataques por negação de serviço. A distribuição dos servidores de uma zona de nomes, por distintos segmentos de rede, é uma boa prática para mitigar os ataques de negação de serviço.