2020/11/12

Novo ataque volta a pôr o DNS em risco

Há um novo ataque que pode ameaçar toda a internet, ao interferir com um dos seus pilares fundamentais, o DNS.

O DNS é o serviço responsável por transformar os nomes que se escrevem num browser no endereço IP que permite criar um canal de comunicação, e como se pode imaginar, é um serviço de importância crítica. Tendo tido origem em tempos "pré-históricos" em que era impossível prever naquilo que a internet se viria a tornar muitas décadas mais tarde, tem também sido alvo de tentativas de ataque, que permitiram a entidades maliciosas redireccionar utilizadores para sites falsos mesmo que escrevessem correctamente o nome do site a visitar, ou clicassem em links para lá.

Em 2008 tivemos um exemplo de como poderia ser feito um ataque de DNS cache poisoning, que permitiria atingir este objectivo, tendo levado à implementação de alterações que, na prática, tornavam esse tipo de ataque praticamente impossível... até agora.

Estamos numa época em que temos investigadores a espiar dados secretos de CPUs usando o consumo de energia, e isso já permite ficar com uma ideia do tipo de tácticas utilizadas. Nesta nova variante de ataque DNS nem sequer se chega a alto tão esotérico, e na prática consiste em recorrer a uma táctica que nos pode fazer lembrar o jogo Mastermind de tentar adivinhar a coisa certa usando múltiplas tentativas.

Para um atacante poder interferir com os DNS tem que acertar na porta correcta de comunicação (para além de outros elementos de segurança) que, devido à gigantesca combinação de possibilidades, tornava estes ataques "impossíveis". Mas este novo ataque tira partido do limite de comunicações erradas que os servidores têm, inundando-os com múltiplas tentativas em diferentes portas e medindo o tempo que demoram até chegar ao limite. O truque é que se o pedido for feito na porta correcta, essa comunicação não conta para o limite - e graças a esse pequeno detalhe, conseguem determinar quando acertam num lote que contenha a porta correcta, sendo depois apenas uma questão de ir repetindo o processo, com variações, até finalmente acertarem na porta certa.

Mais uma vez, os sistemas estão a ser alterados para impedir este vector de ataque, e que consiste em passar a utilizar um limite variável para as comunicações erradas - de 500 a 2000 por segundo, em vez das anteriores 1000 por segundo fixas - e assim impedir que o factor tempo possa ser usado para inferir se se acertou na porta certa ou não.

... Serve também de exemplo sobre como é impossível criar algo 100% seguro, pois nem se consegue imaginar que tipo de possibilidades de ataques poderão surgir anos, ou décadas, mais tarde!

2 comentários:

[pub]