Na Internet é cada vez mais importante poder confiar em algo. Em sua origem, entre acadêmicos, acreditava-se sempre na declaração dos colegas. Muitos dos protocolos como o do “correio eletrônico” por exemplo, foram escritos em analogia a serviços tradicionais. “Cartas” são encaminhadas ao destinatário sem que se viole o conteúdo ou, sequer, se verifique se o remetente é quem diz ser. A rede trabalha sem questionamentos ao transportar e entregar “cartas”. O que era nobre e elegante, entretanto, passou a ser abusado e o “spam” tornou-se praga. Uma eficiente forma de combater pragas trazidas pela tecnologia é adotar anti-pragas também tecnológicas, e assim, por exemplo, conseguiu-se atenuar os efeitos do “spam” sobre todos nós.
O mesmo ocorre em endereçamento de máquinas e serviços. Para chegar a algum lugar na rede precisamos do “endereço IP” daquele lugar. Uma poderosa estrutura distribuida e hierárquica chamada DNS (Domain Name System) traduz o nome do destino para um endereço, e também aí confiança era pressuposto: “Ei, eu quero ligar para o João. Qual é mesmo o telefone dele? - 99991111 - Ah, obrigado”. Claro que pode aparecer algum “espírito deletério” que, ouvindo a pergunta sobre o João, forja uma resposta falsa: 99992222. Acabaríamos ligando para o João errado e, pior, se houvesse má intenção, é bem capaz que um pseudo-João atendesse e acabássemos passando a ele informações que só deveriam ser dadas ao verdadeiro João. É uma das formas de desviar incautos para páginas falsas, implementando o “phishing”, “pescaria em águas turvas”.
A saída é recorrer de novo à tecnologia: o DNS ganha uma extensão chamada DNSSEC (“SEC” de “seguro”). Agora a resposta à pergunta sobre o “telefone do João” virá com uma assinatura verificável, garantindo assim ser verdadeira. Com DNSSEC quem realmente conhece o telefone do João assina a resposta, dando ao usuário a certeza de estar ligando ao João real. Funciona em cadeia hierárquica: o domínio .br, assinado pela raíz da Internet, garante por sua vez a existência de seu segundo nível. No segundo nível há subdomínios obrigatoriamente assinados, como o b.br (bancos) e jus.br (judiciário), enquanto em outros a decisão de assinar ou não é de quem opera o domínio. E o .br acaba de atingir 1 milhão de domínios assinados com DNSSEC, ficando entre os cinco maiores usários de DNSSEC do mundo. Bom pra nós!
A tendência clara é, paulatinamente, embutir “confiança” na própria estrutura da rede. Se antes usava-se um terceiro para “reconhecer nossa firma”, cada vez mais a própria rede cria mecanismos automáticos que proveem formas seguras de autenticação. Estamos ainda longe de dispensar cartórios, certificados e carimbos, mas DNSSEC é um exemplo de círculo virtuoso na segurança. Outro caso atual que pode tornar-se comum em breve é a tecnologia “blockchain”, aquela por trás de moedas virtuais. O “blockchain” se propõe a manter na rede uma estrutura disseminada de confiança não fraudável. Mostra que eventualmente poderemos prescidir do aval de alguém confirmando o que possuimos, seja um valor ou outro bem qualquer. São tempos interessantes...
O mesmo ocorre em endereçamento de máquinas e serviços. Para chegar a algum lugar na rede precisamos do “endereço IP” daquele lugar. Uma poderosa estrutura distribuida e hierárquica chamada DNS (Domain Name System) traduz o nome do destino para um endereço, e também aí confiança era pressuposto: “Ei, eu quero ligar para o João. Qual é mesmo o telefone dele? - 99991111 - Ah, obrigado”. Claro que pode aparecer algum “espírito deletério” que, ouvindo a pergunta sobre o João, forja uma resposta falsa: 99992222. Acabaríamos ligando para o João errado e, pior, se houvesse má intenção, é bem capaz que um pseudo-João atendesse e acabássemos passando a ele informações que só deveriam ser dadas ao verdadeiro João. É uma das formas de desviar incautos para páginas falsas, implementando o “phishing”, “pescaria em águas turvas”.
A saída é recorrer de novo à tecnologia: o DNS ganha uma extensão chamada DNSSEC (“SEC” de “seguro”). Agora a resposta à pergunta sobre o “telefone do João” virá com uma assinatura verificável, garantindo assim ser verdadeira. Com DNSSEC quem realmente conhece o telefone do João assina a resposta, dando ao usuário a certeza de estar ligando ao João real. Funciona em cadeia hierárquica: o domínio .br, assinado pela raíz da Internet, garante por sua vez a existência de seu segundo nível. No segundo nível há subdomínios obrigatoriamente assinados, como o b.br (bancos) e jus.br (judiciário), enquanto em outros a decisão de assinar ou não é de quem opera o domínio. E o .br acaba de atingir 1 milhão de domínios assinados com DNSSEC, ficando entre os cinco maiores usários de DNSSEC do mundo. Bom pra nós!
A tendência clara é, paulatinamente, embutir “confiança” na própria estrutura da rede. Se antes usava-se um terceiro para “reconhecer nossa firma”, cada vez mais a própria rede cria mecanismos automáticos que proveem formas seguras de autenticação. Estamos ainda longe de dispensar cartórios, certificados e carimbos, mas DNSSEC é um exemplo de círculo virtuoso na segurança. Outro caso atual que pode tornar-se comum em breve é a tecnologia “blockchain”, aquela por trás de moedas virtuais. O “blockchain” se propõe a manter na rede uma estrutura disseminada de confiança não fraudável. Mostra que eventualmente poderemos prescidir do aval de alguém confirmando o que possuimos, seja um valor ou outro bem qualquer. São tempos interessantes...
Nenhum comentário:
Postar um comentário