Publicado em: 22 de novembro de 2023.

O que é DNS?

Os dispositivos conectados à Internet, como computadores, smartphones, tablets e laptops, se comunicam por meio do protocolo TCP/IP, no qual cada aparelho possui um endereço IP único. Da mesma forma, as páginas da web, acessíveis pelos navegadores de internet, também possuem um endereço IP único associado ao servidor no qual estão hospedadas. Esse endereço IP é fundamental para que os dispositivos consigam se identificar e trocar informações entre si.

Para tornar a navegação mais fácil, foram criados os registros de domínio e os servidores de DNS (Domain Name System ou Sistema de Nome de Domínio). O DNS é um sistema responsável por localizar e converter endereços de sites legíveis por seres humanos, como por exemplo www.google.com, em endereços IP legíveis por computadores, como 192.168.0.1 (no IPv4) ou 2400:cb00:2048:1::c629:d7a2 (no IPv6).

Imagine ter que memorizar sequências complexas de números (endereços IP) para acessar qualquer site. Seria extremamente difícil e pouco prático, e é aí que entra o DNS! O DNS permite associar os endereços IP a nomes de domínio mais amigáveis. Dessa forma, os usuários podem simplesmente digitar o nome do site que desejam acessar e o DNS se encarregará de encontrar o endereço IP correto para estabelecer a conexão. Com isso, a navegação na internet se torna muito mais fácil e conveniente. O DNS desempenha um papel fundamental no funcionamento da Internet, garantindo que os usuários possam acessar os recursos online de forma rápida e eficiente. 

Mas como o DNS se relaciona com a privacidade e segurança online?

Apesar dos avanços desde sua concepção nos anos 80, o DNS, assim como diversos protocolos da internet, não foi originalmente desenvolvido com foco na segurança e privacidade do usuário.

Os pacotes DNS são transmitidos pela Internet sem qualquer forma de criptografia, o que implica que qualquer indivíduo com conhecimentos básicos de rede pode não apenas visualizar, mas também manipular o tráfego DNS. Essa vulnerabilidade resulta em uma preocupante lacuna na privacidade e segurança online, pois viabiliza ataques que comprometem o pleno uso da rede, exigindo uma atenção especial para a proteção dos usuários.

Por conta disso, alguns ataques de DNS são de possível e até comum execução. Entre os ataques de DNS mais comuns se destacam:

Envenenamento de cache: Este tipo de ataque envolve a introdução de dados DNS falsos na cache de um servidor DNS, fazendo com que o usuário acesse um endereço IP diferente daquele correspondente ao domínio consultado. Frequentemente, este ataque leva o usuário para um site réplica do original, o qual pode ser utilizado para fins como a distribuição de malware ou coleta de informações de login.

Tunelamento de DNS: Trata-se de uma técnica que utiliza o tráfego de DNS para enviar dados de forma encoberta, criando um “túnel” na comunicação. Esse túnel é explorado para contornar medidas de segurança, permitindo a extração de dados sem detecção pela maioria dos firewalls. Além disso, pode ser empregado para a transmissão de malware, ampliando as ameaças potenciais.

Sequestro de DNS : Neste tipo de ataque, o invasor modifica as configurações de DNS de um dispositivo ou rede, redirecionando o tráfego para destinos maliciosos. Isso pode resultar em phishing, sites fraudulentos e interceptação de tráfego sensível, comprometendo a autenticidade e confidencialidade das comunicações online. Vale ressaltar que esse tipo de ataque difere do envenenamento de cache, pois modifica as configurações de registro de DNS, não a cache.

Uma perspectiva criptográfica

Para contornar esses problemas e garantir a confidencialidade e segurança na rede, a implementação de mecanismos como autenticação e criptografia torna-se crucial.

O recente desenvolvimento do padrão internacional DNSSEC (Domain Name System Security Extensions) oferece uma abordagem para reforçar a autenticação no DNS. Utilizando assinaturas digitais baseadas em criptografia de chave pública, o DNSSEC introduz duas características cruciais no protocolo DNS: a garantia da autenticidade da origem dos dados e a proteção da integridade dos mesmos.

Além disso, para assegurar um ambiente mais seguro, foram criados três principais protocolos de transporte seguro relacionados ao DNS, todos fundamentados na aplicação de técnicas criptográficas. São eles DoT, DoH e DoQ:

• DoT (DNS sobre TLS): Este protocolo estabelece a criptografia do tráfego de DNS, visando manter a comunicação segura e privada. Ao utilizar o mesmo protocolo de segurança presente em websites, o TLS, o DoT não apenas criptografa, mas também autentica as comunicações. A criação de uma porta específica para essa comunicação assegura a criptografia do tráfego de DNS, embora não o oculte.

• DoH (DNS sobre HTTPS): Apresenta-se como uma alternativa ao DoT, o DoH criptografa o tráfego de DNS, contudo o envia através do protocolo HTTPS, utilizando a mesma porta que o restante do tráfego da web. Essa característica confere ao DoH a capacidade de criptografar e ocultar o tráfego de DNS, tornando-se semelhante a qualquer outro tráfego HTTPS.

• DoQ (DNS sobre QUIC): O mais recente entre os três protocolos, o DoQ compartilha semelhanças com o DoH, porém, sua velocidade é aprimorada devido ao uso do protocolo UDP. Esta implementação permite a criptografia e o ocultamento eficientes do tráfego de DNS. 

Esses protocolos, ao criptografarem consultas e respostas do tráfego DNS, desempenham um papel crucial na defesa contra potenciais ameaças à privacidade e à integridade dos dados DNS durante a transmissão pela internet. Cada um deles oferece benefícios distintos em termos de implementação e eficácia, contribuindo para um ecossistema digital mais resiliente e protegido.

Criptografia de DNS na garantia da privacidade e segurança online

Em um cenário digital em constante evolução, a proteção da privacidade e segurança online torna-se uma preocupação crescente. Embora o DNS desempenhe um papel essencial na facilitação da navegação na internet, sua vulnerabilidade a ataques coloca em risco a confidencialidade e integridade dos dados transmitidos.

Neste contexto, a criptografia e autenticação no DNS emergem como peças fundamentais na defesa da privacidade dos usuários. Entretanto, apesar dos avanços significativos representados pelo desenvolvimento do padrão DNSSEC e pelos protocolos DoT, DoH e DoQ, destinados a fortalecer a segurança no DNS, a utilização desses elementos ainda é bastante limitada.

A baixa adoção dessas medidas revela uma lacuna significativa na segurança cibernética, na qual muitos usuários continuam vulneráveis a ataques como envenenamento de cache, tunelamento de DNS e sequestro de DNS. A falta de ampla implementação da criptografia no DNS destaca a necessidade de conscientização e incentivo à adoção dessas práticas de segurança. Essas medidas contribuem para uma experiência online mais segura e protegida, salvaguardando assim a privacidade dos usuários em um mundo cada vez mais interconectado.

Luana Batista

Graduanda em Engenharia da Computação pela Universidade Federal do Sul e Sudeste do Pará (Unifesspa) e pesquisadora nas áreas de telecomunicações e inteligência artificial. No IP.Rec atua no Observatório da Criptografia ObCrypto.