Téchne Digitus InfoSec Artigos

<índice "[ Hacking ]-[ Redes de Comunicação ]-[ DeepWeb ]-[ Anonimato ]-[ Criptomoedas ]-[ Programação ]-[ InfoSec em Geral ]-[ Off-Topic but Important ]-[ Redes Sociais ]" />

Mostrando postagens com marcador dns. Mostrar todas as postagens
Mostrando postagens com marcador dns. Mostrar todas as postagens
Logo Téchne Digitus InfoSec

Serviços de DNS Anônimo - Sem logs, sem bloqueio

Muito do monitoramento e censura imposta por governos e empresas está atrelado ao serviço de DNS.

Existem alguns serviços de DNS pelo mundo que prometem não guardar log e não conter nenhum tipo de bloqueio.

Esta postagem visa apresentar uma pequena lista desses servidores DNS e apresentar formas de testá-los para saber qual o mais performático para você.

Lista de Serviços de DNS Anônimos e Seguros


- Censurfridns Denmark - http://blog.censurfridns.dk/

91.239.100.100 (Dinamarca)
89.233.43.71 (Dinamarca)


- FreeDNS - http://freedns.zone

172.104.237.57 (Alemanha)
172.104.49.100 (Singapura)
37.235.1.174 (Austria)
37.235.1.177 (Austria)
45.33.97.5 (EUA)


- Digitalcourage - https://digitalcourage.de

85.214.20.141 (Alemanha)


- dismail.de - https://dismail.de/

80.241.218.68 (Alemanha)


Como escolher o melhor serviço de DNS com a melhor performance?


1. Utilize comandos de ping e traceroute (ou tracert no Windows)


No teste de ping, observaremos a latência de nossa máquina até o servidor de DNS. Quanto menor a latência, melhor!

No teste de traceroute observaremos a quantidade de hops entre nossa máquina até o servidor de DNS. Quanto menos hops, melhor!


2. Teste de DNS Benchmark


Faça um teste de benchmark de DNS com o programa chamado Domain Name Speed Benchmark da GRC (Gibson Rearch Corporation) que testa especificamente o desempenho do serviço de DNS a partir de seu host local. Medindo assim, qual apresenta a melhor performance para você.

Este é um programa executável para Windows (.EXE), com desenvolvimento sólido em Assembly. Roda muito bem em Linux através do WINE.

Clique no link a seguir para baixar o programa: https://www.grc.com/files/DNSBench.exe

DNS Benchmark Téchne Digitus
Teste de Benchmark para Serviços de DNS
Guia Rápido - Usando o DNS Benchmark:

a) abra o executável;
b) delete todos os IPs na guia "Nameservers";
c) abra o seu editor de textos (notepad, sublime ou gedit);
d) Copie e cole os IPs abaixo:
91.239.100.100
89.233.43.71
172.104.237.57
172.104.49.100
37.235.1.174
37.235.1.177
45.33.97.5
85.214.20.141
80.241.218.68
e) salve o arquivo como dnslist.ini;
e) clique no botão "Add/Remove";
f) clique em "Add .INI file Nameservers";
e) selecione o arquivo dnslist.ini criado e importe;
f) clique no botão "Run Benchmark".

Após isso, você verá quais os servidores de DNS Anônimo mais rápidos para você. Use-os!

--

Para saber mais:

- O porquê de usar um Serviço de DNS Anônimo
- Uma Introdução a DNSSEC
- DANE, um novo conceito para segurança de domínios - O que é o DANE?

Logo Téchne Digitus InfoSec

DANE, um novo conceito para segurança de domínios - O que é o DANE?

Introdução a DNS-Based Authentication of Named Entities

Neste artigo, apresentaremos uma nova tecnologia de segurança contra falsificações de sites.
Existe uma nova tecnologia que vem sendo solidamente discutida desde meados de 2011 e consolidando-se finalmente em 2012 em uma RFC, definindo um novo protocolo capaz de melhorar (e muito!) a segurança em certificados de nomes de websites. Garantindo de forma mais confiável que um site é o site que parece ser.

O nome desta tecnologia é DANE.

DNS-Based Authentication of Named Entities
DANE
Phishing Scam - O "Contra-Ataque" Parte III

Em termos técnicos, DANE é...

DNS-Based Authentication of Named Entities ou, em tradução literal, Autenticação Baseada em DNS para Entidades Nomeadas.  O DANE foi definido na RFC 6698 em Agosto de 2012.

Trata-se é um protocolo que permite certificados X.509, normalmente utilizados por TLS (Transport Layer Security), sejam associados a nomes DNS utilizando a tecnologia DNSSEC (Domain Name System Security Extensions).

Para saber mais sobre DNSSEC >> Uma Introdução ao DNSSEC

Super HTTPS


DANE - Téchne Digitus InfoSecBasicamente, a criptografia TLS/SSL é atualmente baseada em certificados gerados por CAs (Certificate Authorities). Esses CAs validam se o certificado apresentado pelo site com o certificado registrado em seu banco de dados. Assim, o CA pode averiguar se aquele domínio pertence ou não àquele site.

Porém, nos últimos anos, um considerável número de provedores CA sofreram com sérias falhas de segurança, permitindo aplicar certificados de domínios conhecidos para domínios que não os possuíam de fato.

Confiar em um grande número de CAs pode ser um problema pois qualquer CA vulnerável pode emitir um certificado para qualquer domínio.

O DANE permite que o administrador do nome de domínio certifique as chaves usadas em clientes ou servidores TLS, guardando-as em um DNS. O DANE precisa de DNS records (registros de DNS) para ser assinado com DNSSEC.

O DANE também permite que um administrador de domínio especifique qual CA é permitido para conferir o certificado de um recurso específico, fato que resolve o problema de qualquer CA ser capaz de verificar um certificado de um domínio.

DANE2 Téchne Digitus InfoSec

DANE na prática...

Para verificar a identidade de um site através do DANE é necessário que um plug-in seja instalado em seu browser.

O DANE, embora ainda seja uma aplicação relativamente recente do DNSSEC, já começa ser adotado por sites e serviços alternativos como o Tutanota, servidor de E-mail seguro e gratuito!

No Blog do Tutanota, encontramos um passo a passo de como instalar esse plugin: https://tutanota.com/blog/posts/tutanota-uses-dane-on-top-of-ssl-pfs/



Para saber mais:
- Phishing Scam - O "Contra-Ataque"
- Uma Introdução ao DNSSEC
- Tutanota - Serviço Alemão de E-mail Seguro e Gratuito
Logo Téchne Digitus InfoSec

Uma Introdução ao DNSSEC

Introdução

Os sistemas de DNS não foram originalmente desenvolvidos para serem seguros. Não há como verificar a autenticidade de um nome DNS a não ser pelo próprio servidor de nomes (Domain Name Server).

Para tentar resolver este problema, criou-se o DNSSEC.

DNSSEC Logo Téchne Digitus
Phishing Scam - O "Contra-Ataque" Parte II

O que é DNSSEC?

DNSSEC significa Extensão de Segurança para DNS.

Especificado pelas RFCs 4033, 4034, 4035 e 5155, visa proteger contra DNS Spoofing e Envenenamento de Cache (Cache Poisoning).

Técnicas como DNS Spoofing ou Cache Poisoning são um incremento em ataques de Phishings, que basicamente simula ser o que não é para persuadir o usuário a cair em algum tipo de golpe.

Ou seja, DNSSEC pode considerado um mecanismo Anti-Phishing!

O DNSSEC faz com que um serviço de DNS armazene chaves criptográficas de identidades digitais e verificá-las a cada acesso.

Como funciona o DNSSEC?

Primeiro, vamos observar como funciona uma solicitação de DNS Normal (Sem o DNSSEC):

Como funciona o DNSSEC Imagem 01 Téchne Digitus
Resolução Sem DNSSEC

Resolução sem DNSSEC:
  1. Usuário solicita resolução de um nome para seu servidor DNS;
  2. Seu servidor DNS solicita a referência do domínio para o servidor raiz;
  3. Servidor raiz responde o servidor autoridade sobre aquele tipo de domínio;
  4. Servidor de DNS solicita referência ao servidor de autoridade sobre aquele tipo de domínio;
  5. Servidor de autoridade responde com informações de quem é o servidor daquele nome;
  6. Servidor de DNS envia solicitação de resolução para o servidor de DNS daquele nome;
  7. Servidor de DNS responsável por aquele nome responde para o servidor de DNS do usuário;
  8. Servidor de DNS do usuário responde a resolução para o usuário.


Agora vamos ver como funciona a resolução de nomes com DNSSEC:

Como funciona o DNSSEC Imagem 02 Téchne Digitus
Resolução de nomes com DNSSEC
Resolução COM DNSSEC:
  1. Usuário solicita resolução de um nome para seu servidor DNS;
  2. Seu servidor DNS solicita a referência do domínio para o servidor raiz - porém, o servidor de DNS do usuário possui a chave pública do servidor raiz.  Ou seja, se a resposta não vier dele, ela não será aceita;
  3. Servidor raiz responde o servidor autoridade sobre aquele tipo de domínio com a informação da chave pública daquele servidor de autoridade, ou seja, se a resposta não vier de um servidor com a chave correta, ela não será aceita;
  4. Servidor de DNS solicita referência ao servidor de autoridade sobre aquele tipo de domínio;
  5. Servidor de autoridade responde com informações de quem é o servidor daquele nome (se resposta vier com a chave certa, o servidor de DNS do Usuário vai até o servidor do nome destino) somando a chave pública do servidor de DNS do nome destino;
  6. Servidor de DNS envia solicitação de resolução para o servidor de DNS daquele nome usando a chave pública do servidor de DNS do nome destino;
  7. Servidor de DNS responsável por aquele nome responde para o servidor de DNS do usuário se ele for o servidor correto (que tenha a chave privada daquela resolução);
  8. Servidor de DNS do usuário responde a resolução para o usuário.
Em resumo, o DNSSEC forma uma rede de confiança entre servidores de DNS utilizando chaves digitais de identificação. Se alguém dessa cadeia de comunicação não possuir a chave privada necessária, a operação irá falhar e a resolução não irá ocorrer.

Principais características do DNSSEC

  • Uso de chaves públicas de criptografia;
  • Cada zona tem uma chave pública e outra privada (tipicamente um nível dois de hierarquia (KSK e ZSK);
  • Chaves públicas são usadas pelos resolvedores de DNS para validar as assinaturas (autenticação);
  • Chaves públicas de zonas são organizadas na escala de confiança que segue a hierarquia de delegação do DNS;
  • Resolvedores autenticam as assinaturas com os servidores raízes das zonas que contém o nome solicitado.

Tipos Adicionais de Registro


Registros X Descrição Téchne Digitus

Dois Videos Rápidos Sobre DNSSEC







Logo Téchne Digitus InfoSec

VIDEO: Configurando um Serviço de DNS Anônimo



Configurando um Serviço de DNS Anônimo na Suíça em seu computador.


Link do Artigo Completo: https://www.technedigitus.com/2014/10/usando-um-servico-de-dns-anonimo.html

Siga-nos no Twitter: https://twitter.com/technedigitus @technedigitus




Logo Téchne Digitus InfoSec

O porquê de usar um Serviço de DNS Anônimo

DNS
DNS

Usando um Serviço de DNS Anônimo

A sigla DNS quer dizer: Domain Name System. Sua função é básicamente converter números em nomes. Desta forma, o acesso a sites ou sistemas torna-se mais humano. É mais fácil decorar www.[umnomequalquer].com.br do que 200.XYZ.120.2, por exemplo.

Dentro do universo DNS, temos duas questões para refletir:
1. Censura
2. Privacidade

1. Censura

Um dos métodos mais fáceis de censurar a Internet é através do DNS.
Por exemplo: se o seu provedor de acesso a Internet receber uma ordem do governo federal para bloquear o Twitter, basta bloquear nas configurações do servidor DNS deles que geralmente é configurado para ser o seu servidor de DNS automaticamente via DHCP.

Em 2014 houve bloqueio do Twitter na Turquia pelos servidores de DNS do país. A primeira solução de contorno foi a população alterar as suas configurações de DNS para apontarem para os servidores de DNS do Google (8.8.8.8 e 8.8.4.4), mas como veremos adiante, talvez os servidores do Google não seja a melhor opção...

Censura Interesses

2. Privacidade

Servidores de DNS guardam logs das conversões feitas. Ou seja, fica registrado o seu IP, o nome do site (ou serviço) que você acessou e o IP do site. Essas informações são o caminho para obtenção de uma série de informações sobre você como por exemplo: sua localização, seu provedor, seus interesses... Que por sua vez são o caminho para obtenção de outras séries de informações sobre você!

Vigilância

Existem dois grandes objetivos para coleta de informações pessoais das pessoais:

- Marketing direcionado: suas informações formam o seu perfil de consumidor que indica quais produtos tem mais chances de interessar a você. Desta forma, apresentam propagandas direcionadas com maiores chances de te manipular com sucesso fazendo com que você compre.

MKT

- Controle de pessoas: grandes corporações e governos precisam de informações para tomar decisões. Decisões como: censurar, desacreditar, desviar, mentir, desmentir, desviar foco entre outras são tomadas analisando informações.

BB

Vale aqui lembrar que o tal do "Big Data", assunto quente no mundo corporativo hoje em dia tem tudo haver com coletar, processar e apresentar informações em massa para tomada de decisão.

BD

 A Solução: Usar um servidor de DNS Anônimo!

Veja no link a seguir uma lista de serviços de DNS Anônimos: https://www.technedigitus.com/2015/07/servicos-de-dns-anonimo-sem-logs-sem.html