O NIC.br criou um novo DPN — Domínio de Primeiro Nível — para os bancos, o “b.br”. O grande diferencial deste DPN é o DNSSEC, extensão de segurança do DNS, que é obrigatório para todos os domínios colocados abaixo deste domínio. O DNSSEC previne um tipo de ataque específico: o envenenamento de cache do DNS, que possibilita que um criminoso redirecione o site do banco para um servidor próprio, onde o golpista recebe todas as informações que o usuário enviar, inclusive as senhas.
Para que um computador consiga acessar um endereço como www.linhadefensiva.org, ele precisa acessar um servidor de DNS, isto é, um computador especial que consegue “traduzir” este “nome” (www.linhadefensiva.org) em um endereço IP — um número que identifica unicamente um computador na rede — para que ele possa se conectar nele. Este processo se chama resolução de nome.
Cada provedor opera seu próprio servidor de DNS para fazer esta tradução e ele, quando requisitado por um dos vários clientes do provedor, precisa buscar qual o “número” correto em outro servidor (chamado de NS), operado pelo próprio site que será visitado. É possível que um criminoso consiga falsificar uma resposta do NS com um endereço que não é o do site verdadeiro, o que resultaria na criação de um redirecionamento malicioso para todos os usuários daquele provedor.
O servidor de DNS, para não ter que repetir o processo toda vez que um usuário quiser acessar determinado site, armazena a informação obtida em um “cache”. A informação pode ficar neste “cache” por até 3 dias antes do cache ser eliminado e o servidor fazer novamente a resolução do nome. Caso um atacante consiga fazer um servidor de DNS armazenar em cache a informação do IP malicioso, esta ficará ali até que o cache seja limpo. Por este motivo, este tipo de ataque recebe o nome de envenenamento de cache.
Para que um computador consiga acessar um endereço como www.linhadefensiva.org, ele precisa acessar um servidor de DNS, isto é, um computador especial que consegue “traduzir” este “nome” (www.linhadefensiva.org) em um endereço IP — um número que identifica unicamente um computador na rede — para que ele possa se conectar nele. Este processo se chama resolução de nome.
Cada provedor opera seu próprio servidor de DNS para fazer esta tradução e ele, quando requisitado por um dos vários clientes do provedor, precisa buscar qual o “número” correto em outro servidor (chamado de NS), operado pelo próprio site que será visitado. É possível que um criminoso consiga falsificar uma resposta do NS com um endereço que não é o do site verdadeiro, o que resultaria na criação de um redirecionamento malicioso para todos os usuários daquele provedor.
O servidor de DNS, para não ter que repetir o processo toda vez que um usuário quiser acessar determinado site, armazena a informação obtida em um “cache”. A informação pode ficar neste “cache” por até 3 dias antes do cache ser eliminado e o servidor fazer novamente a resolução do nome. Caso um atacante consiga fazer um servidor de DNS armazenar em cache a informação do IP malicioso, esta ficará ali até que o cache seja limpo. Por este motivo, este tipo de ataque recebe o nome de envenenamento de cache.