DNS do Futuro

DNS do Futuro

Os sistemas de nome de domínios (DNS) continuam a ser uma tecnologia fundamental na conversão para os endereços IP que lhes estão alocados. Esta lista de ‘quem é quem’ é partilhada pelos vários servidores DNS em todo o mundo de uma forma clássica e bastante estratificada. Grande parte da segurança deste sistema baseia-se na resiliência dos servidores de raiz e dos domínios de topo. Estes servidores são como bastiões tecnológicos da Internet que sustentam a sincronização do redireccionamento de todo o seu tráfego. Contudo, e ao mesmo tempo, atrasam a sua evolução para um novo sistema totalmente descentralizado, mais resistente a falhas e tentativas de censura.

Mas, tal como acontece com a evolução do IPv4 para IPv6, a resistência à mudança é sempre maior do que a necessidade de melhorar a tecnologia implementada em tão grande escala, seguindo a velha máxima de que “se funciona, não se deve mexer”. Isto faz com que a Open Web esteja cada vez mais longe dos inovadores sistemas baseados em blockchain implementados em pequenos círculos da Dark Web. Esta nova forma de identificação de serviços/servidores consegue, teoricamente, manter o anonimato dos intervenientes da comunicação e, ao mesmo tempo, assegurar a identidade definida por cada um deles, tudo isto de uma forma completamente encriptada ponto a ponto e descentralizada. No entanto, é importante lembrar que o facto de algo funcionar numa pequena rede distribuída pelo mundo não significa que seja possível escalá-lo a nível global.

Por outro lado, o que torna, actualmente, os servidores DNS no alvo predilecto de ataques man-in-the-middle nem sequer é a forma como os servidores se actualizam, mas sim como comunicam com os clientes que se ligam a eles. Muitos administradores de sistemas, e a maioria dos utilizadores, não têm total consciência do nível de confiança que obrigatoriamente depositam no DNS que utilizam. Porém, isto é fácil de perceber se se pensarmos nos riscos potenciais de um servidor no qual confiamos a tarefa de identificar o IP que responde pelo nosso banco, quando inserimos o seu endereço na barra de um navegador.

Embora muito já tenha sido feito em termos de certificação da comunicação com os sites, através da certificação SSL, continua a existir muito espaço para melhorar a forma como os clientes comunicam com os DNS, nomeadamente no que diz respeito à encriptação da comunicação, à certificação solidária de servidores e à implementação de políticas de confiança. A recente apresentação por parte da Microsoft da sua antevisão do Zero Trust DNS, a integrar em futuras versões do Windows, é seguramente um passo no sentido correcto. Contudo, o caminho antevê diversas adversidades relacionadas com as necessidades de monitorização directa de tráfego de algumas empresas ou a implementação de serviços como captive portals, que se baseiam especificamente nestas fragilidades dos próprios DNS para funcionarem correctamente. Com isto, fica o meu desejo de ver mais e rápidas mudanças na forma como usamos os DNS, antes que um ataque nesta área nos obrigue a fazê-lo.