[GTER] Mais um motivo pra nao usar DNSSEC

nelson at pangeia.com.br nelson at pangeia.com.br
Wed Nov 9 19:41:21 -02 2011


On 09-11-2011 17:10, nelson at pangeia.com.br wrote:
> On Wed, Nov 09, 2011 at 04:17:20PM -0200, Henrique de Moraes
> Holschuh wrote:
>> On 09-11-2011 13:34, nelson at pangeia.com.br wrote:
>>> DNSSec e PKI pra resolver fraude bancaria?
>>
>> Não.  Para tornar mais difícil as fraudes em massa (DNSSEC), e no
>> caso
>
> Porque? Basta invadir ou disparar  email na maquina com dnssec.

E isso é mais fácil e barato que envenenar cache de DNS?  Não que eu saiba.

O usuário que digita www.<banco>.com.br (pena que não é www.banco.b.br)
em um computador que não foi invadido, decididamente não deveria correr
tanto risco de ir parar em site clonado quanto existe no momento.

Muito mais, milhares de invasoes e uso de relay/proxy por dia, contra
eventuais, quase anuais, envenenamento de cache de DNS. 

Digitar banco.b.br e ir pro lugar errado eh varias grandezas mais 
dificil de acontecer que ele ser invadido e ter seu hosts adultarado.
E ja que o usuario deve poder escolher usar ou nao um dns externo, esse 
"controle do ISP"  fica ainda mais insignificante numericamente. 

Com um trojan na maquina eh irrelevante se ele vai pra b.br ou vodka.ru 

Nenhuma solucao pode ser descartada e, obviamente, todas ajudam. Mas
apesar da boa vontade, algumas ajudam mais que outras. 

./nelson -murilo - http://sbconference.com.br 














More information about the gter mailing list