Por Marcelo Tavares de Santana
A Internet é muitas vezes pensada como uma rede de computadores democrática e algumas vezes como um meio público, mas algumas de suas tecnologias fundamentais não estão ao alcance da sociedade como uma rua pública. As vias públicas são locais regrados por normas legais e de trânsito livre, ou seja, seguindo as regras qualquer um pode escolher sua direção de movimentação ou ficar parado. A Internet também tem suas normas legais e podemos escolher o quê acessar nela, em qualquer outra rede contida nela, como serviços de stream e a Web; Internet e Web são coisas distintas tecnicamente, a primeira é a rede mundial de computadores e inclui dispositivos físicos como computadores e celulares, e a Web é uma rede de informação que funciona dentro da Internet. Porém, diferente das vias públicas, na Internet existem pontos de falha que podem impedir seu uso de forma absurdamente rápida, equivalente a parar todo trânsito colocando todos os faróis da cidade em sinalização de parar e assim propagando a interrupção do trânsito em todo lugar.
Na Internet um desses pontos de falha capaz de parar todos é o Domain Name System (DNS), um sistema de nomes de locais na Internet que equivale a nossa agenda de contatos telefônicos; um local na Internet é um nome de algum recurso que podemos acessar, como um site, rede social, documento online, e é também conhecido como endereço eletrônico. O DNS funciona informando números de IPs de equipamentos na Internet a partir dos endereços eletrônicos, e essa ação é chamada de resolução de nomes, que acontece toda vez que acessamos alguma coisa na rede de computadores. A Figura 1 [*] apresenta uma sequência de resolução de DNS onde cada aplicativo pode possuir uma cópia de um registro de DNS (que contém um nome composto por palavras e pontos, como pt.wikipedia.org) e um IP associado; é como consultar tua agenda pessoal de contatos. Se o número de IP não for encontrado, é feita uma consulta nas cópias de registro do computador, e assim sucessivamente no roteador Wi-Fi/cabeado, no Resolvedor Recursivo da empresa que fornece acesso à Internet e outros servidores do sistema DNS.
Figura 1: Sequência de resolução DNS
A grande diferença para o nosso sistema de agendas de contatos pessoais é que as informações de cada registro de DNS nas cópias em diferentes locais de consulta são atualizados automaticamente e em alta velocidade, e assim qualquer um que possa controlar os servidores principais do DNS (Raiz, TLD e SLD) pode interromper a Internet de um local específico ou de todo planeta. Na prática, existem muitos acordos interinstitucionais e interesses comerciais para que isso não aconteça, mas ainda fica configurada uma centralização de controle por governos e empresas de um recurso essencial à sociedade, onde podemos citar da Declaração Universal dos Direitos Humanos:
- Artigo 12: Direito à Privacidade;
- Artigo 19: Liberdade de Expressão;
- Artigo 21: Direito de Participação no Governo;
- Artigo 26: Direito à Educação;
- Artigo 27: Direito à Cultura e aos Benefícios do Progresso Científico.
Apesar da seriedade da discussão sobre a centralização e controle do DNS, nesse momento precisamos pensar aqui em como mitigarmos ataques nos registros de DNS dentro dos limites de nossas casas. Quando usamos um roteador Wi-Fi/cabeado, esses equipamentos oferecem como configuração automática o IP deles mesmos como servidores de DNS, assim passam a ser os resolvedores de nomes da casa. Certa vez um amigo teve o roteador de sua casa invadido e os registros dos resolvedores de DNS foram alterados para um Resolvedor Recursivo falso, ou seja, todas as cópias de registros de DNS em seus aplicativos e equipamentos estavam copiando endereços de IP falsos, mas ele percebeu assim que entrou no site de uma instituição financeira e reinstalou seu roteador.
Para mitigarmos os efeitos de uma alteração no DNS em nossos roteadores podemos configurar manualmente os servidores de DNS nos equipamentos para números IP de algum serviço público ou gratuito de DNS, segue algumas sugestões que apesar de caírem na questão da centralização do DNS ainda são melhores que IPs de um cibercriminoso:
- Google Public DNS: IPv4 [8.8.8.8] [8.8.4.4]; IPv6 [2001:4860:4860::8888]; [2001:4860:4860::8844];
- OpenDNS (Cisco): IPv4 [208.67.222.222] [208.67.220.220]; IPv6: [2620:119:35::35] [2620:119:53::53].
Os resolvedores de DNS (também chamados servidores DNS) são muitas vezes separados em primários e secundários e podem ter diversos nomes na configuração dos equipamentos: Primary DNS Server/Secondary DNS Server, DNS Primário/DNS Secundário, Preferred DNS Server/Alternate DNS Server, DNS 1/DNS 2, DNS IP Address etc. Com a configuração manual nos equipamentos, mesmo que alguém altere o DNS no roteador, nossos equipamentos vão consultar os resolvedores recursivos externos. Para aprimorarmos nossa segurança, segue sugestão de ações para as próximas semanas:
- Semana 1: pesquise IPs de DNS de sua operadora de acesso à Internet;
- Semana 2: pesquise IPs de DNS aberto ou gratuito;
- Semana 3: escolha e configure os DNS manualmente em seus equipamentos;
- Semana 4: verifique os servidores de DNS em seus roteadores.
Apesar de existirem iniciativas de descentralização de DNS, não temos uma que funcione como solução universal capaz de fazer frente ao que temos hoje. Assim, o recomendado é usarmos mais criptografia no dia a dia, e mantermos roteadores domésticos com firmwares atualizados.
Boa configuração a todos!
Nota
[*] Adaptado de https://en.wikipedia.org/wiki/Domain_Name_System#/media/File:DNS_Architecture.svg
Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo
Esse texto também é mais um argumento para a importância da rede Tor. Os serviços onion efetivamente descentralizam e anonimizam a resolução de nome de domínio (se bem que a um custo: os endereços onion não são muito legíveis por humanos)
Marcelo,
Os DNS do NextDns (aplicativo e serviços) são confiáveis?