A Intypedia, enciclopédia da Segurança da Informação acaba de lançar a sua lição número 13 com o título “Segurança em DNS” através de um vídeo criado por vários profissionais da GMV, entre os quais Javier Osuna García-Malo de Molina, Chefe da Divisão de Consultoria de Segurança e Processos da GMV, juntamente com Isidro Labrador e Manuel Collado.

O sistema de nomes de domínio DNS (Domain Name System) é muito utilizado na Internet, sendo objectivo desta lição analisar a sua utilidade, as suas fragilidades e as medidas que podem ser adoptadas para minimizar eventuais ataques.

O sistema DNS permite traduzir endereços “humanos” mais ou menos descritivos para endereços “máquina”, no nosso caso endereços IP. Por exemplo, é mais fácil memorizar ou inclusivamente adivinhar o endereço correspondente à universidade UPM “www.upm.es” do que trabalhar com o seu endereço IP, que é o “138.100.200.6”. Mas não é tudo, pois permite igualmente o envio de correio electrónico, além de outras funções.

As empresas e os organismos públicos estão conscientes da importância que este sistema tem, bem como do impacto que a sua indisponibilidade lhes pode causar. Por esta razão, a segurança foca-se especialmente nos elementos mais importantes do sistema, tais como os servidores raiz que podem sofrer, por exemplo, ataques DoS.

Actualmente, sem a tecnologia DNS as comunicações na Internet ficariam extremamente complicadas: acesso a páginas Web, envio de emails, etc. Na prática os atacantes aproveitam-se deste sistema DNS para substituir a identidade, espiar ou roubar informações.

Por forma a minimizar este tipo de ataques recomenda-se um controlo de acesso seguro, a mentalização dos utilizadores sobre a existência e métodos de engenharia social, o rastreio de quem, o quê e quando se modificam as informações que contêm os DNS, um sistema de monitorização eficaz, a utilização das últimas versões do software associado ao DNS e a sua actualização contínua, a configuração apropriada dos DNS e a limitação das redes a partir das quais se pode aceder à cache do DNS, caso seja possível.