A tarde de 5 de maio foi desagradável para muitos administradores que gerenciam serviços e sites com domínios .de: pouco antes das 10 horas, o sistema de monitoramento soou o alarme, clientes e funcionários acionaram casos de suporte e a solução de problemas começou – o site estava inacessível, o aplicativo não funcionava e a conexão VPN falhou. Porém, a causa não está na operadora do serviço, mas no ponto intermediário: na zona .de do Sistema de Nomes de Domínio (DNS), ou mais precisamente na configuração do DNSSEC.
Leia mais depois do anúncio
O DENIC eG é responsável pela configuração e até o momento forneceu apenas breves informações sobre o incidente. Na quarta-feira a poeira baixou, o barulho diminuiu e alguns detalhes do acontecimento ficaram mais claros. Uma olhada nos dados do DNS também mostra que somente o DENIC pode explicar a causa exata; a declaração ainda está pendente. Para reconstruir o evento, verificamos os registros históricos de DNS registrados pelo serviço dnsviz.net.
O que aconteceu
O DNSSEC tem a tarefa de proteger as respostas do DNS contra manipulação usando assinaturas digitais. Sem o DNSSEC, os invasores podem criar respostas interceptando e modificando o tráfego entre o cliente e o resolvedor. DNSSEC trabalha com criptografia assimétrica, ou seja, com pares de chaves compostos por chaves públicas e privadas. A chave pública é armazenada em uma entrada do tipo DNSKEY no DNS. Há uma chave de assinatura de zona (ZSK) mais longa para assinatura, que é então assinada com uma chave de assinatura de zona (KSK) mais curta.
A integridade das respostas DNS é verificada passo a passo, começando pela zona raiz, que é a chave para a confiança. A zona raiz, assinada digitalmente, refere-se ao servidor de nomes responsável pelo domínio de nível superior – neste caso específico .de. Se fornecer uma referência de login válida ao servidor de nomes responsável por este domínio, ele será consultado. Se a assinatura no caminho for quebrada, toda a cadeia será considerada quebrada e a resolução de nomes falhará. Este é o comportamento desejado que protege contra manipulação.
(Imagem: 21:43, início do problema: O sinal para a entrada SOA da zona .de é inválido. A nova chave é usada pela primeira vez. O sinal para outras entradas pode ser criado com ela.)
As chaves de alerta de zona são alteradas no domínio de nível superior em intervalos regulares. Por se tratar de um passo intermédio com possíveis consequências, aconteceu em vários passos: 2. Maio o DENIC, como responsável pela zona .de, anunciou uma nova chave pública com ID 33834. Isto aconteceu a tempo de uma nova entrada contornar o DNS. A assinatura não é feita com uma chave nova para a época; a chave antiga 32911 assume. 33834 apareceu pela primeira vez como chave de assinatura em 5 de maio às 21h43. (19h43 UTC) na assinatura (RRSIG) para entradas SOA da zona .de. SOA significa “Início de Autoridade”, a entrada contém informações sobre a zona. Esta assinatura é inválida por motivos ainda não claros. Os dados do dnsziv mostram: Neste momento, todos os 6 servidores de nomes responsáveis enviaram esta assinatura quebrada com a chave 33834.
Por volta das 21h59. As primeiras contramedidas foram óbvias: um dos servidores de nomes, n.de.net, enviou então uma nova entrada RRSIG para a entrada SOA com a assinatura correta, assinada com a nova chave 33834. Os outros cinco servidores continuaram a espalhar assinaturas falsas.
Leia mais depois do anúncio
21h59: As contramedidas foram iniciadas e os responsáveis podem convencer o servidor a usar a nova chave para gerar a assinatura correta para a entrada SOA.
(Lance: dnsviz.net)
Às 22h27 apareceu uma nova imagem: n.de.net enviou novamente uma assinatura inválida, agora a.nic.de e z.nic.de têm entradas válidas com a antiga chave 33834 – mas diferentes via IPv4 e IPv6. Ao mesmo tempo, z.nic.de também mostra uma assinatura quebrada. Às 22h31 ocorreu a próxima situação, agora cinco servidores conseguem entrar corretamente com a nova chave 33834 e apenas n.de.net, que conseguiu essa conquista, está errado na entrada. Apenas três minutos depois, todos deram a resposta errada para a mudança, e diferentes combinações vieram do servidor em um curto intervalo, todas incorretas.
Às 22h50, a maioria dos servidores concordou com uma assinatura válida comum com a antiga, apenas n.de.net está mais errado. Mudou pela primeira vez às 13h15 do dia 6 de maio (23h15 UTC), quando todos os servidores retornaram a resposta correta – embora não perfeita: a.nic.de e z.nic.de enviaram duas assinaturas em paralelo, pelo menos duas corretas. Às 13h17 finalmente chegou a situação desejada: seis servidores de nomes poderiam produzir assinaturas válidas. Como não é possível convencer todos os seis servidores de nomes a assinarem com 33834 ao mesmo tempo, todos recorreram à chave 32911 neste momento, então a troca de chaves é invertida. Nada mudou até a noite de 6 de maio e até agora nenhuma tentativa foi feita para inserir a chave 33834.
01h15: Depois de uma hora, todos os seis servidores enviam assinaturas válidas novamente. A mudança para o novo botão é revertida.
(Lance: dnsviz.com)
O que se segue disso?
Observar os dados históricos do DNS mostra: Algo está errado com a chave 33834, pelo menos junto com a entrada SOA. Outra entrada DNS pode ser assinada com sucesso a qualquer momento. As contramedidas começam 15 minutos após o primeiro alerta incorreto. Apesar de alguma confusão, não é possível usar a chave em todos os seis servidores para assinatura SOA. Para controlar a falha, optou-se por entrar novamente com a chave 32911.
A interrupção ocorreu devido a um erro de DNSSEC até agora exclusivo do domínio .de. Em 2022, o domínio .se na Suécia está enfrentando problemas devido ao DNSSEC. A Rússia teve um problema de DNSSEC com o domínio .ru em 2024. A causa naquele momento foi um ID de keytag atribuído duas vezes.
O DENIC passa a ser responsável por identificar a causa do problema e explicar quais contramedidas foram tomadas. A questão de por que os problemas de assinatura não foram identificados no ambiente de teste também está sem resposta.
(hora)
