[FUG-BR] Servidores DNS têm vulnerabilidades de configuração, diz pesquisa

Alessandro de Souza Rocha etherlinkii em gmail.com
Quinta Novembro 22 22:41:12 BRST 2007 

Leia com antecao.
De acordo com a terceira pesquisa anual dos fornecedores de segurança
de rede Infoblox e Measurement Factory, o número de servidores DNS
conectados à internet subiu para 11,5 milhões de sistemas em 2007,
alta sensível perante aos 9 milhões em 2006. Mas o crescimento não
está sendo seguido por cuidados em segurança.

Leia mais:

    * Novo cavalo-de-tróia para Macintosh leva vítima a sites de golpes
    * 35 soluções para problemas de rede

Mesmo com 60% dos servidores testados utilizarem a última versão do
popular software para nome de domínios, o BIND 9, cerca de 50% deles
estão configurados para aceitar 'recursive queries', pedidos
recursivos, método comum para perpetrar ataques de pharming, uma
alteração no site correto que passa a ser usado para fraudes como
enviar spams.

Além disso, menos de 1% dos servidores testados suportam o DNSSEC (DNS
Security Extensions), funcionalidade de segurança aportada na versão
atualizada do BIND 9.

Outra descoberta assustadora indica que o número de servidores DNS que
ainda permitem transferências de zona para pedidos oriundos de
requerentes arbitrários aumentou, saltando de 29% em 2006 para 31% em
2007. Como a Infoblocs explica no relatório: "ao permitir isso, é
possível duplicar um segmento inteiro de dados em DNS de uma
organização de um servidor DNS para outro, o que pode ser um alvo
fácil de ataque de negação de serviço".

Mesmo com a atualização da maioria para o BIND 9, boa parte deles está
falhando em usar os métodos mais poderosos para bloquear vetores
comuns de ataques, como envenenamento do cache de um DNS.

Cricket Liu, vice-presidente de arquitetura da Infoblox, concluiu: "O
fato de tantos servidores DNS permitirem pedidos recursivos indica que
ainda não há um entendimento correto dos riscos. Mas, no geral, é
encorajador que a maior parte das correções que devem ser feitas exige
apenas um simples reconfiguração, não uma complexa atualização".

A pesquisa apontou, também, que o uso do software da Microsoft's para
servidores DNS caiu em 50%, respondendo por 2,7% dos servidores
testados.

http://pcworld.uol.com.br/noticias/2007/11/22/idgnoticia.2007-11-22.0719830185/
-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117

Mais detalhes sobre a lista de discussão freebsd