Google implementa recurso de segurança para autenticação de domínio

A gigante irá validar assinaturas em registros com extensão de segurança de DNS (DNSSEC) habilitada. Iniciativa visa garantir que usuário não seja redirecionado para página falsa.

O Google implementou integralmente um recurso de segurança que garante que uma pessoa pesquise por um site e não seja, inadvertidamente, redirecionada para uma página falsa.

A empresa roda, desde 2009, o seu próprio serviço de pesquisa público e gratuito de Sistema de Nomes de Domínio (Domain Name System ou apenas DNS), que foi chamado de Public DNS.

As buscas por DNS são necessárias para traduzir um nome de domínio, como www.idg.com, em um endereço IP que pode ser solicitado por um navegador.

Mas sistemas DNS podem ser violados por crackers. Em um ataque chamado de “cache poisoning”, um servidor DNS é hackeado e modificado para que o usuário que realiza a pesquisa por “www.idg.com” seja direcionado para um site diferente.

Provedores de Internet (ISPs) e outros operadores de rede têm implementado lentamente extensões de segurança para DNS (DNS Security Extensions, ou apenas DNSSEC), que utiliza de chaves de criptografia pública para digitalizar uma “assinatura” para os registros de DNS para sites.

O DNSSEC requer muito trabalho para implementar. Proprietários de domínios tem que garantir que os seus sites são assinados digitalmente. Cerca de um terço dos domínios de nível superior (top domain levels) são assinados, mas a maioria dos domínios de segundo nível não são, de acordo com a Google. ISPs e outros operadores de rede também devem configurar seus sistemas.

O Google afirmou que verifica as assinaturas digitais em mensagens formatadas em DNSSEC, um passo importante no sentido de garantir consultas de DNS corretos.

“Anteriormente, aceitávamos e encaminhávamos mensagens DNSSEC, mas não realizávamos a validação”, escreveu o chefe de equipe do Public DNS, Yunhong Gu, no blog de segurança da empresa. “Com este novo recurso de segurança, podemos proteger melhor as pessoas de ataques baseados em DNS e fazer o DNS mais seguro no geral, identificando e rejeitando respostas inválidas de domínios protegidos por DNSSEC.”

Páginas técnicas do Google sobre o DNSSEC afirmam que se não puderem validar um domínio, ele irá retornar uma resposta de erro. Mas se um domínio muito popular não for validado, eles podem excluir o site de sua “lista negra” até que o problema seja corrigido.

O Public DNS responde a mais de 130 bilhões de consultas de mais de 70 milhões de endereços IP por dia, escreveu Gu. No entanto, apenas 7% dessas consultas solicitam informações DNSSEC.

 

Fonte: idgnow.uol

Maior ataque cibernético da história estremece a internet

Episódio pode causar problemas em bancos e serviços de email

A Spamhaus, organização sem fins lucrativos que combate spams, sofreu diversos ciberataques nesta semana. As agressões abalaram o tráfego na internet em várias partes do mundo Especialistas em segurança afirmam que este é o maior ataque da história, considerado seis vezes mais agressivo do que os que costumam derrubar sites de bancos.

A Spamhaus alega que a Cyberbunker, hospedeira de sites que está na lista negra do grupo anti-spam, é a responsável pelos ataques. Para ela, as ofensivas ocorreram como retaliação, já que recentemente a ONG bloqueou servidores mantidos pela empresa que abriga páginas na web.

O grupo anti-spam ainda acusa a hospedeira de atacar em parceria com “gangues criminosas” do Leste da Europa e da Rússia. A Cyberbunker, por sua vez, afirmou que a Spamhaus está abusando do seu poder e não deveria ter autorização para decidir “o que acontece na internet”.

A estratégia usada pelos hackers por trás do ataque é a negação de serviço distribuído (DDoS, na sigla em inglês). Normalmente, um ataque DDoS de 50 Gb/s é suficiente para derrubar um site de banco. Segundo a equipe da Spamhaus, a página do grupo sofreu agressões de até 300 Gb/s.

“Nós estamos sob ataque por cerca de uma semana, mas estamos de pé. Nossos engenheiros estão fazendo um imenso trabalho para manter a estrutura funcionando. Esse tipo de ataque provavelmente derrubaria qualquer outra coisa”, afirmou Steve Linford, CEO da Spamhaus, à BBC.

O episódio teve impacto em serviços como o Netflix e alguns especialistas temem que as ofensivas possam causar problemas em bancos e serviços de email. Cinco polícias nacionais de combate a crimes cibernéticos estão investigando os ataques.

Fonte: http://olhardigital.uol.com.br/

Que roteadores wifi com IPv6 realmente encontramos? E quanto custam?

Recentemente publicamos um artigo no qual mostrávamos quais modelos de roteadores wireless com suporte a IPv6 já estavam sendo vendidos por aqui, segundo seus fabricantes. Fizemos agora uma pesquisa pra ver o que realmente é encontrado nas lojas!

O artigo que publicamos recentemente foi: Vai comprar um roteador wifi? Saiba quais são compatíveis com IPv6!. Para quem não o leu ainda, vale dar uma conferida. Para complementar o artigo, e ajudar àqueles que precisam comprar um roteador sem fio novo, fizemos agora uma pesquisa na Internet utilizando o Buscapé, um buscador especializado em comparação de preços, para verificar a disponibilidade de cada um dos modelos anunciados.

A tabela a seguir mostra o que encontramos. Segundo esses resultados, há diversas opções disponíveis, mas nem todos os equipamentos são realmente encontrados nas lojas brasileiras. A pesquisa mostra também que a maior parte dos equipamentos com suporte a IPv6 são ainda equipamentos de topo de linha. Não há opções entre os mais baratos.

Os dados são de 20 de março de 2013. Esperamos que ajudem!

Marca Modelo Menor Preço (R$) Maior Preço (R$) Ofertas Link
Linksys E900 119,00 189,00 19 http://compare.buscape.com.br/cisco-e900.html#precos
E2500 229,40 339,91 13 http://compare.buscape.com.br/linksys-e2500.html#precos
E3200 501,90 501,90 1 http://compare.buscape.com.br/cisco-e3200.html#precos
E4200 465,90 799,00 3 http://compare.buscape.com.br/linksys-e4200.html#precos
EA2700 322,19 398,99 2 http://compare.buscape.com.br/cisco-ea2700.html#precos
EA4500 581,40 683,99 4 http://compare.buscape.com.br/cisco-ea4500.html#precos
TP-Link TL-WDR4300 254,99 722,96 10 http://compare.buscape.com.br/tp-link-tl-wdr4300.html#precos
TL-WDR3500 250,00 265,90 2 http://compare.buscape.com.br/tp-link-tl-wdr3500.html#precos
D-Link DIR-645 388,65 562,22 13 http://compare.buscape.com.br/d-link-dir-645.html#precos
DIR-655 325,00 599,00 20 http://compare.buscape.com.br/d-link-dir-655.html
DIR-826L 446,25 526,99 2 http://compare.buscape.com.br/d-link-dir-826l.html#precos
DIR-857 664,99 975,00 14 http://compare.buscape.com.br/d-link-dir-857.html

 

UPDATE (em 23/03/2013)

Nossos ex-alunos do curso de IPv6 nos enviaram emails e alertaram para a ausência dos produtos da Apple nesses artigos. Bem, temos ouvido muita coisa sobre o suporte ao IPv6 no Airport Extreme e outros produtos da Apple há algum tempo, mas:

  • não conseguimos encontrar nenhuma referência nos sites da Apple ao suporte a IPv6, por exemplo, na descrição das características dos produtos (achamos na sessão de perguntas, mas as respostas aparentemente eram de usuários do site, e não de staff da Apple);
  • o pessoal da Apple não tem participado das reuniões sobre o assunto aqui no Brasil, então não temos informação em primeira mão, nem pelo site, nem por representantes;
  • temos algumas informações contraditórias, por exemplo, achamos referências de que numa certa versão a Apple havia retirado as opções IPv6 da ferramenta de configuração (o suporte ainda estava lá, mas não dava pra configurar), achamos também sites dizendo que não dá pra fechar PPPoE e usar IPv6, ou seja, se o provedor começar a entregar IPv6 nativo usando PPPoE, não dá pra usar, só com túneis…

Ainda assim, como alguns de nossos ex-alunos afirmam que o suporte a IPv6 nesses produtos é adequado, fica aqui registrada também essa opção:

http://compare.buscape.com.br/proc_unico?id=75&kw=airport

  • Airport Express, disponível em 5 lojas, de R$ 349,00 a R$ 499,00
  • Airport Extreme, disponível em 5 lojas, de R$ 589,43 a R$ 651,90

 

 Fonte: http://ipv6.br

Veja na prática como distribuir suas subredes IPv6, pela RFC 3531

RFC 3531 propõe três métodos para ordenar a distribuição de endereços e blocos IP. Conforme sua escolha, você pode, por exemplo, alocar um bloco adicional para alguém que já tenha recebido um, de forma que possa anunciá-lo de forma agregada no roteamento. Ou pode eventualmente mudar a quantidade de blocos que você tinha previsto para um determinado uso, sem alterar as alocações já realizadas.

Nem sempre é muito fácil entender como esses algoritmos funcionam, ou qual será o resultado, conforme a escolha.

Por isso, no endereço http://ipv6.br/rfc3531demo disponibilizamos um simulador dos algoritmos apresentados na RFC. Você pode experimentá-lo usando os blocos IPv6 e IPv4 que quiser. O simulador dividirá os blocos na quantidade de subredes que você desejar, e mostrará a ordem em que deverão ser alocadas, segundo o algoritmo de sua escolha.

Preparei um pequeno vídeo, mostrando como usar o simulador:

Alocação de endereços IP - simulador da RFC 3531 no IPv6.br

Se quiser mais instruções sobre como usá-lo acesse http://ipv6.br/entenda/alocacao-de-enderecos/ . Ou O IPv6 -> Alocação de endereços, no menu ao lado.

 

Fonte: http://ipv6.br

Você, provedor, já consegue obter trânsito IPv6?

 

Muitos Sistemas Autônomos(*) ainda não conseguiram se conectar via IPv6. Essa situação dificulta toda a implantação do protocolo no Brasil, pois gera um efeito negativo em cascata. Explicando melhor: se o provedor de trânsito não fornecer IPv6 aos datacenters e às empresas em geral, os sites Web e outros serviços não poderão implantar o IPv6. Se os pequenos provedores não conseguem obter IPv6 dos grandes provedores, também não conseguem entregá-los a seus usuários.

A equipe do IPv6.br vinha recomendando, desde o final de 2011, um cronograma para a implantação do IPv6 no Brasil, onde todos os sistemas autônomos deveriam obter trânsito IPv6 até a metade de 2012. O próprio CGI.br recomendou esse mesmo cronograma em sua resolução 007/2012. Era já uma meta difícil, mas o esgotamento dos endereços livres IPv4 está muito próximo e é necessário que toda a cadeia de valor da Internet tenha condições de implantar o IPv6 em tempo hábil. Ainda em 2012, algumas das grandes operadoras de telecom (que funcionam, na prática, como provedores para os demais provedores) comprometeram-se a disponibilizar esse trânsito, para os demais Sistemas Autônomos, até Janeiro de 2013.

Vamos buscar, neste artigo, entender como está a situação atualmente, em março de 2013. Para tanto, nos basearemos em três fontes de dados: (i) dados do Registro.br e LACNIC, (ii) numa enquete feita recentemente pela equipe do IPv6.br, entre os ASes, e (iii) na análise da tabela de rotas global da Internet.

(*) Sistemas Autônomos são as redes que compõem a Internet. Praticamente todos os provedores de acesso e serviços na Internet são também ASes (Sistemas Autônomos). Outras grandes redes, de empresas, universidades e outros tipos de instituições também podem ser. Os ASes normalmente têm seus próprios endereços IP, e usam o BGP, que é o protocolo de roteamento externo da Internet, para ensinar às demais redes como chegar até seus usuários e serviços.

Dados do Registro.br e LACNIC

Segundo os dados do Registro.br e LACNIC, no Brasil temos 1963 Autonomous Systems, contra 975 blocos IPv6 alocados. Esses dados podem ser obtidos em ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest. No próprio sítio do IPv6.br temos um gráfico que ilustra a evolução dessas alocações:http://ipv6.br/estatisticas/#asnipv6.

Apesar da taxa de crescimento ter aumentado consideravelmente nos últimos anos, pode-se observar que a situação está longe de ser ideal. Os dados mostram que apenas cerca de metade dos ASes nacionais tem um bloco IPv6 alocado para si.

Olhando apenas esses dados, e fazendo uma extrapolação simples, vemos que somente em dezembro de 2015 todos os ASes terão IPv6.

Naturalmente, numa análise mais profunda deveríamos considerar outros fatores. Por exemplo, temos uma concentração no mercado brasileiro, com um número pequeno de provedores oferecendo trânsito ou acesso à Internet a uma grande parcela dos usuários. Se observarmos a tabela de roteamento global, veremos que apenas cerca de 83% dos 1963 ASes estão realmente ativos. É mais importante que os ASes realmente ativos e, em especial, os que têm mais clientes, tenham IPv6, do que os demais. Provavelmente se considerássemos isso teríamos uma situação melhor do que a observada tão somente com os dados de alocação, mas também provavelmente continuaria longe do ideal.

Enquete sobre trânsito IPv6 para os ASes

Realizamos entre 15 e 20 de março de 2013 uma enquete entre os ASes brasileiros, divulgada para nossos ex alunos do curso IPv6, e na lista de emails do GTER (Grupo de Trabalho de Engenharia de Redes). Como algumas das principais operadoras de telecom se comprometeram o oferecer trânsito IPv6 para os Sistemas Autônomos à partir de janeiro de 2013, nossa intenção era avaliar como isso estava acontecendo. Esperávamos, por exemplo, observar alguma diferença na oferta entre as regiões do país, ou entre cidades maiores e menores.

Obtivemos 59 respostas. Os provedores eram em sua maioria de Capitais ou cidades médias (89%), e se dividiam nas seguintes regiões:

Apesar de não termos muitas respostas, elas permitiram entender a situação, mostrando algo diferente do que esperávamos.

Em uma das questões perguntávamos: “Você tentou obter trânsito IPv6 para seu ASN em 2013 e NÃO CONSEGUIU? Consultando quais operadoras?”. Obtivemos o seguinte quadro:

Em “outros”, apareceram também ANID, COPEL e UNOTEL.

Uma outra questão era: “Informe as operadoras com as quais você JÁ TEM trânsito IPv6″. E nos permitiu obter o seguinte quadro:

Analisando as respostas alguns pontos chamaram a atenção:

Análise da tabela de roteamento global da Internet

A análise da enquete nos mostrou uma situação diferente da que esperávamos: aparentemente alguns dos principais fornecedores de trânsito IPv4 ainda não começaram a oferecer trânsito IPv6 para os demais ASes. No entanto, com menos de 60 respostas, não havia como ter certeza. Por isso, buscamos dados em outra fonte: analisamos as tabelas de rotas globais, IPv4 e IPv6.

A análise consistiu em identificar os ASes brasileiros, e verificar quem eram seus principais upstreams, IPv4 e IPv6, observando a tabela de rotas global em diversos “looking glasses” e “coletores de rotas” disponíveis publicamente: route-server.he.net, route-server.eu.gblx.net, grh.sixxs.net, route-server.tinet.net, routeserver.belwue.de, routeserver.sunrise.ch, route-views4.routeviews.org, routeviews6.routeviews.org.

Em primeiro lugar, vemos que apenas 201 ASes brasileiros anunciam blocos IPv6 na Internet, o que é a indicação mínima de que estão efetivamente sendo usados. Ou seja, se um AS não anuncia sequer um bloco IPv6 na tabela global de rotas, podemos ter certeza de que ele não está utilizando o protocolo. O número de 201 ASes que está utilizando de fato o IPv6 equivale a apenas 20.6% dos que têm os blocos IPv6 alocados, ou 10.2% do total de ASes do país. Esse dado piora o retrato que tínhamos, baseado no número de alocações feitas aos ASes pelo Registro.br, que por si só já era ruim.

A tabela a seguir mostra TODOS os ASes que fornecem trânsito IPv6 para um AS brasileiro, ordenados de acordo com o número de clientes de trânsito. Mostra ainda a quantidade de clientes de trânsito que cada um desses fornecedores possui. Se você é um provedor, ou Sistema Autônomo, e precisa obter trânsito IPv6, essa tabela mostra quem pode, de fato, lhe fornecer!

Uma dica para quem quer saber quem são os clientes, e fornecedores, de IPv4 ou IPv6, para um dado AS: uma forma muito simples é consultar o sítio: http://bgp.net.br/analysis e digitar o ASN desejado. Outro sítio que oferece um recurso semelhante é o da HE: http://bgp.he.net/, ele tem como vantagem mostrar as relações entre os ASes de forma gráfica. Uma terceira opção é o RIS, do RIPE: http://www.ripe.net/data-tools/stats/ris. Mas veja a “nota importante” ao final deste artigo, antes de confiar plenamente nos dados obtidos!

Pos Qtd    ASN Nome
001 049  16735 COMPANHIA DE TELECOMUNICACOES DO BRASIL CENTRAL
002 049   6939 Hurricane Electric, Inc.
003 023   3549 Level 3 Communications, Inc.
004 021  22548 Núcleo de Informação e Coordenação do Ponto BR
005 013  18881 Global Village Telecom
006 012   1916 Associação Rede Nacional de Ensino e Pesquisa
007 007  25933 Sul Americana Tecnologia e Informática Ltda.
008 007  16397 Alog-02 Soluções de Tecnologia em Informática S.A.
009 007  12956 Telefonica
010 006   6762 SEABONE-NET
011 005  22356 Durand do Brasil Ltda
012 004  14868 COPEL Telecom S.A.
013 004  14840 COMMCORP COMUNICACOES LTDA
014 004  10881 FUNPAR - Fundacao da UFPR para o DCTC
015 004  10429 Telefonica Data S.A.
016 004   1251 FUNDAÇÃO DE AMPARO À PESQUISA DO ESTADO SÃO PAULO
017 003 262761 oquei.com.br provedor Ltda
018 003  53237 TELECOMUNICACOES BRASILEIRAS S. A. - TELEBRAS
019 003  30071 TowardEX Technologies International, Inc.
020 003  26615 Tim Celular S.A.
021 003  12989 HWNG
022 003  11835 IPE INFORMATICA LTDA
023 003   2716 Universidade Federal do Rio Grande do Sul
024 002  28346 IB TELECOMUNICAÇÕES LTDA
025 002  28186 ITS TELECOMUNICAÇÕES LTDA
026 002  22431 ABASE - SERVICOS TELECOM DES E COM SOFT LTDA
027 002  20080 Florida International University
028 002  19151 WV FIBER
029 002   8560 ONEANDONE-AS
030 002   3257 TINET-BACKBONE
031 002   1239 Sprint
032 001 262699 FOX Internet Banda Larga
033 001 262465 Masterradius Telecom Ltda EPP
034 001  53137 TCA INFORMATICA LTDA
035 001  29748 Carpathia Hosting, Inc.
036 001  28625 Terremark do Brasil Ltda.
037 001  28303 Rede OptiTel
038 001  28220 CABO SERVICOS DE TELECOMUNICACOES LTDA
039 001  27750 Cooperación Latino Americana de Redes Avanzadas
040 001  23456 Internet Assigned Numbers Authority
041 001  23148 TERRENAP DATA CENTERS, INC.
042 001  18747 IFX Communication Ventures, Inc.
043 001  10417 Fundação de Desenvolvimento da Pesquisa
044 001   4230 EMBRATEL-EMPRESA BRASILEIRA DE TELECOMUNICAÇÕES SA
045 001   3491 Beyond The Network America, Inc.
046 001   3292 TDC
047 001   2914 NTT America, Inc.
048 001   2603 NORDUNET
049 001    174 Cogent Communications

Para fins de comparação, vamos observar quem são os principais fornecedores de trânsito IPv4 para os ASes brasileiros. A tabela a seguir mostra aqueles ASes que têm mais de 50 clientes de trânsito:

Pos Qtd    ASN Nome
001 255  18881 Global Village Telecom
002 212  16735 COMPANHIA DE TELECOMUNICACOES DO BRASIL CENTRAL
003 179   4230 EMBRATEL-EMPRESA BRASILEIRA DE TELECOMUNICA??ES SA
004 169   8167 Brasil Telecom S/A - Filial Distrito Federal
005 151   3549 Level 3 Communications, Inc.
006 094   7738 Telemar Norte Leste S.A.
007 092  10429 Telefonica Data S.A.
008 091  26615 Tim Celular S.A.
009 052  14868 COPEL Telecom S.A.

GVT (AS 18881) e a Algar/CTBC (AS 16735) aparecem como os principais fornecedores de IPv4. E também figuram entre os principais fornecedores de IPv6! A Level 3/GBLX (AS 3549) também é uma grande fornecedora de IPv4 e IPv6.

Embratel (AS 4230) é a terceira maior fornecedora de IPv4, mas oferece IPv6 apenas para a NET, que é de seu próprio grupo. Se somarmos os clientes IPv4 da OI/BrT/Telemar (ASes 8167 e 7738), ela seria a principal fornecedora. No entanto, não aparece ainda na tabela de rotas IPv6.

Vivo/Telefonica (AS 10429)Tim (AS 26615) e COPEL (AS 14868) são grandes fornecedores IPv4. Mas oferecem IPv6 apenas para um número muito limitado de clientes, fazendo crer, numa primeira análise, que este ainda não está disponível em larga escala, ou seja, que para elas o IPv6 ainda não é um “produto de prateleira”. Contudo, pode ser também que tenham disponibilizado o IPv6 apenas muito recentemente e que as ativações ainda não tenham sido solicitadas por seus clientes, ou ainda não tenha havido tempo para que fossem efetivadas e aparecessem na análise.

Conclusão

A falta de trânsito IPv6 para os ASes no Brasil continua sendo uma questão grave, em março de 2013, gerando potencialmente um efeito cascata negativo para a implantação do protocolo em toda a cadeia da Internet. Tendo em vista a proximidade do esgotamento do IPv4, a situação é realmente preocupante.

Vemos que claramente alguns dos principais fornecedores de trânsito IPv4, já oferecem também IPv6. Em especial a Algar Telecom, a GVT e a Level3. Outros demonstraram capacidade mas aparentemente ainda não oferecem em larga escala, como COPEL, TIM e VIVO. Acreditamos, pelas análises realizadas, queclientes IPv4 dessas 6 operadoras, de forma particular, devem insistir para serem atendidos com IPv6, e podem esperar e cobrar uma resposta positiva no curto prazo.

Outros dos grandes fornecedores de trânsito IPv4, como a Embratel e a OI ainda não estão oferecendo trânsito IPv6. Acreditamos que a insistência por parte de seus atuais clientes de trânsito IPv4 é ainda mais fundamental. Mas também, segundo os dados desta análise, não acreditamos que obterão uma resposta no curto prazo. Talvez seja necessário buscar alternativas. Precisamos também de alguma forma procurar entender as dificuldades que essas operadoras estão encontrando para atualizar-se no mesmo ritmo das demais.

Por fim, sugerimos aos ASes que não consigam atendimento pelos seus atuais fornecedores, que verifiquem a tabela completa dos fornecedores de trânsito IPv6. Verifiquem também quais estão presentes nos mesmos PTTs em que já participam, ou que atendam sua localidade. E que busquem novas oportunidades de negócio!
Nota importante:

Extrair dados das tabelas de rotas BGP não é uma tarefa simples: A visão da tabela não é a mesma para todos os ASes. É difícil distinguir relações de trânsito de relações de peering. De fato, podemos mesmo afirmar que o BGP foi projetado para esconder algumas informações! Podem haver, portanto, algumas distorções nos números aqui apresentados, e isso pode nos levar a conclusões equivocadas. Para minimizar esse problema, as análises da tabela IPv6 aqui relatadas basearam-se na comparação da visão de diversos ASes diferentes, o que nos leva a um resultado que, esperamos, esteja bem próximo à realidade.

Next Page →