IGF

IGF - Sessão de Abertura

O Internet Governance Forum realizou sua 3a. edição em Hyderabad, na Índia, e o debate que segue ecoando nos blogs que se dedicaram a acompanhar o evento têm focado nas diferentes perspectivas sobre o que é o IGF, e qual sua finalidade. Ou seja, após 3 anos ainda estamos distantes de qualquer consenso sobre o significado e o alcance de um processo multi-interesse (multi-stakeholder) para governança de recursos de impacto global.

Uma troca interessante ocorreu entre Milton Mueller do IGP (Internet Governance Project), organização da sociedade civil que acompanha o debate sobre governança da Internet, e Patrik Fältström da Cisco, membro do MAG, e representante da comunidade técnica bastante ativo no contexto do IGF em Hyderabad.

Tudo começou com o ataque de Michel van Eeten (IGP) à falta de atualidade e profundidade no conteúdo da sessão principal sobre segurança. A resposta de Fältström, um dos que apresentaram na sessão, justificou o fato de não haver uma ‘perspectiva de futuro mais aprofundada’ na apresentação do tópico pelo fato do IGF ser uma reunião voltada para a ‘troca de experiências e capacitação, com o objetivo de atualizar os que não têm familiaridade com os temas abordados’. O especialista complementou dizendo que o IGF não pode pretender apresentar a densidade das conferências sobre tópicos específicos, como os encontros técnicos dos órgãos regionais de registros.
(mais…)

Por Cristina de Luca, em Curto Circuito / Convergência Digital

A lenta transição do IPV-4 para o IPV-6 foi uma das grandes preocupações externadas por participantes do painel que discutiu o assunto no IGF 2008, que acontece até amanhã na cidade de Hyderabad, na Índia.

O IPv4, com os seus quatro mil milhões de endereços, foi introduzido em 1981, e IPv6, com 16 bilhões de bilhões possíveis endereços, foi introduzido em 1999. Enquanto o IPV-4 caminha velozmente para o seu esgotamento, apenas 15% das redes, em todo o mundo, estão preparadas para adotarem o IPV-6, que além de aumentar o número de endereços provê recursos capazes de tornar a Internet mais segura.

E apesar de muitos defenderem a determinação de um prazo para que essa transição ocorra por completo, a posição oficial do IGF 2008 acabou sendo pela adoção de mecanismos de sensibilização de governos e empresas para que a promovam a adoção do IPV-6 o mais rápido possível.

A falta de interesse dos usuários pela adoção do IPV-6 e os muitos obstáculos e problemas enfrentados pelas operadoras de rede para iniciar o uso do protocolo, continuam sendo os maiores entraves à transição.

A criação de padrões para harmonizar a coexistência dos protocolos, de modo a evitar problemas como indesejáveis interrupções de serviço e eventuais danos causados às aplicações distribuídas, ajudaria muito, na opinião de Tulika Pandey, diretor do Departamento de Tecnologia da Informação da Índia, um dos países que já trabalham na transição.

Há quem acredite que essa coexistência se estenderá por muitos anos. “Talvez por toda as nossas vidas”, ressaltou Kurtis Lindqvist, diretor administrativo da francesa Autonomica, que já conta com 250 mil assinantes que optaram pelo uso do novo protocolo.

Nesse sentido, o Internet Engineering Task Force vem trabalhando duro no desenvolvimento de mecanismos de tradução padrão entre os dois protocolos. Eles serão fundamentais, tanto para as operadoras, como para os fabricantes de equipamentos, representados no painel do IGF por Jonne Soininen, da Nokia Siemens. Boa parte dos novos produtos da companhia já suportam os dois protocolos.

“Mas, claro, há ainda um longo caminho a percorrer”, reconheceu Soininen.

O Departamento de Comércio dos E.U.A. aproveitou sua presença em uma conferência na França sobre a “Internet das coisas” para anunciar que irá realizar uma consulta pública sobre as diferentes propostas para a assinatura criptografada do arquivo raiz do DNS, e determinar quem desempanhará o papel de âncora de confiança do DNS para a implementação global do DNSSEC (o que é DNS e DNSSEC?) .

A chamada para apresentação de comentários públicos será liberada ainda esta semana.  O anúncio foi feito por Meredith Attwell Baker da NTIA (National Telecommunications and Information Administration), que incentivou outros governos a participarem no processo doméstico norte americano. O anúncio ocorreu depois que a NTIA impediu a ICANN, o administrador do DNS supostamente independente, global e “emergente”, de realizar a sua própria consulta pública. Além disso, o DoC diz que está aguardando uma proposta do ICANN em relação a “automatização” raiz de certas funções. Paul Twomey, da ICANN, que estava no mesmo painel, declinou comentar sobre o anúncio da NTIA. Aparentemente, a mordaça ainda se mantém.

UPDATE: O anúncio oficial da Consulta foi agora publicado.
via: IGP-Blog
veja também: “Feds start moving on net security hole – update” (Wired)

Por Jamila,
Boletim G-POPAI

Em um passo importante para o processo de democratização da governança da Internet, a Corporação para Atribuição de Nomes e Números da Internet (ICANN, em inglês) discutiu durante sua 32ª reunião anual em Paris planos de transição para o fim do Acordo de Projeto Conjunto (JPA, em inglês) que mantém a ICANN formalmente subordinada ao governo dos Estados Unidos.

O JPA vence em setembro 2009 e alguns documentos foram disponibilizados para consulta na página do ICANN (http://www.icann.org/pt/jpa/iic/) sob o título de Consulta para Melhorar a Confiança Institucional. Os comentários públicos serviram como base para a discussão que ocorreu no mês de junho em Paris.

Comentário enviado à ICANN sobre os documentos em questão pelo Departamento de Comércio dos Estados Unidos ? ao qual a ICANN está subordinada segundo o JPA ? esclarece, porém, que o órgão não tem a intenção de abrir mão de seu papel de supervisor da entidade.

A carta, afirma que a possibilidade de mudança nos papéis do Departamento de Comércio e da ICANN no que diz respeito ao gerenciamento da raiz de endereçamento da Internet não está e nem entrará em discussão.

O documento deixa claro que ainda que o JPA não seja renovado, o contrato que rege a administração do sistema de servidores-raiz não está relacionado a este acordo, o que significa que uma ICANN independente e governada pelos diversos atores não terá controle sobre ela.

A estrutura atual determina que a ICANN submeta à aprovação do governo norte-americano qualquer mudança na raiz de endereçamento da Internet, seja a introdução de novos domínios de primeiro nível genéricos (gTDLs) ou quaisquer outras mudanças nos códigos dos países (ccTDLs).

Governos como o brasileiro têm defendido que a ICANN pós-JPA tenha gestão partilhada entre os interesses dos diferentes atores, num regime chamado de multi-stakeholder pois contaria com representantes dos governos, sociedade civil, universidade e iniciativa privada.

Leia aqui o comentário público do NTIA ao ICANN (em inglês).

Plano de Ação da ICANN para a transição (em português).

Acesse outras informações sobre a proposta de transição apresentada pela Icann:

• FAQ Icann – Transição.
• O futuro da ICANN ? tema de uma série de encontros regionais para consultas

A falha no sistema de nomes e domínios da internet (conhecido tecnicamente como DNS) tem, pelo menos, um lado bom para instituições e usuários brasileiros, segundo Demi Getschko, diretor-presidente do Núcleo de Informação e Coordenação do Ponto br (NIC.br).

A brecha, que ainda atinge a maioria das empresas de banda larga brasileiras, segundo levantamento feito pelo IDG Now!, forçará provedores e bancos a agilizar a adoção do DNS SEC, novo protocolo que transforma URLs em IPs mais seguros que a atual versão.

Requisições que partem de servidores usando o novo protocolo são “assinadas” pela máquina de origem, provando que não foram alteradas por algum intruso no meio do caminho, explica Demi, em caminho percorrido semelhante a documentos certificados digitalmente.

“No Brasil, o domínio ‘jus.br’ já tem DNC SEC. Estamos orgulhoso por estarmos batalhando pelo DNS SEC mesmo antes do anúncio do malware. É uma alteração importante no protocolo”, que deverá ser forçada pela brecha, explica.

É claro que, de maneira geral, a falha ainda traz mais notícias ruins que boas. Demi, no entanto, esclarece que a atualização dos servidores DNS não é uma tarefa complicada e tem como conseqüência uma pequena perda de desempenho nas máquinas.

Para cada servidor de DNS recursivo que o provedor tem em sua rede (o engenheiro dá como certo dezenas para cada um dos provedores brasileiros), o patch já disponível precisa ser aplicado.

Após a correção, o servidor pode perder desempenho pela exigência de checar com maior precisão. Servidores extremamente consultados podem ficar lentos, alega.

Ainda que provedores brasileiros não tenham aplicado a correção de maneira uniforme, o que colocaria milhares de internautas potencialmente em perigo, Demi afirma que o NIC ainda não registrou qualquer tipo de ataque, chamado de “envenenamento de cache”, entre brasileiros.

Os primeiros ataques do tipo já começaram a ser registrados nos Estados Unidos. Ironicamente, um dos primeiros afetados pela falha foi HD Moore, o hacker responsável por divulgar o malware usado na exploração da brecha de segurança.

Via: IDGNow!

Fabricantes de software e hardware corrigem falha gravíssima no DNS, o sistema de endereços da internet.

A falha, segundo o US-CERT, agência de segurança digital do governo americano, permitia o ataque conhecido como envenenamento de cache, que consiste na introdução de dados falsos no cache de um servidor de nomes DNS.

O servidor de nomes, como se sabe, cuida da tradução de nomes para números IP. Quando o usuário digita no browser um nome como www.info.abril.com.br, o servidor converte essa URL para o número IP correspondente, que é para o browser é direcionado. Com o envenenamento do cache, correspondências falsas entre URLs e IPs podem ser introduzidas no sistema.

Assim, o usuário digita o nome, mas, em vez de ser levado ao IP correto, pode parar num site que é uma contrafação do endereço desejado.  Obviamente, quem faz esse tipo de ataque tem objetivos criminosos. Portanto, tentará injetar no cache do servidor falsos IPs de sites financeiros, órgãos de governo, sites comerciais etc. O pior disso tudo é que um ataque nesse nível invalidaria qualquer esforço de segurança feito dentro da casa ou da empresa do usuário, porque o próprio coração da internet estaria corrompido.

A descoberta da vulnerabilidade foi feita por Dan Kaminsky, diretor da firma de segurança americana IOActive, sediada em Seattle. Segundo Kaminsky, o problema reside no próprio software básico do sistema DNS. Diz ele: “Trata-se de um problema fundamental que afeta o próprio projeto. Como o sistema está se comportando exatamente como deve, então o mesmo bug vai aparecer num fornecedor após outro.  Esse bug afetou não apenas a Microsoft… não apenas a Cisco, mas todo mundo”.

Por causa do problema, várias empresas publicaram correções para seus produtos. A Microsoft já liberou atualizações para o Windows, como uma medida paliativa. Também o Internet Software Consortium, que cuida do servidor Berkeley Internet Name Domain (BIND), também publicou um upgrade para seu servidor. Além disso, o CERT entrou em ação para dar o alerta.

A liberação das correções individuais foi decidida em conjunto pelas empresas, reunidas na sede da Microsoft. Kaminsky participou das discussões e manteve o assunto em sigilo até agora. As alterações implementadas pelos fornecedores de hardware e software consistem em tornar mais aleatórias as portas usadas nas buscas de DNS. Não se trata, contudo, de uma solução definitiva.

via: InfoOnline