Questão nº 45
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 45)
Após uma determinada rede receber ataques de DNS spoofing, foi sugerida a implantação do DNSsec.
Acerca desse assunto, é correto afirmar que:
- Asigilo é um serviço oferecido, pois todas as informações no DNS são consideradas privadas;
- Bo DNSsec também admite alguns tipos de registros. O registro CERT pode ser usado para armazenar certificados; (alternativa correta)
- CDNSsec oferece três serviços, que são a prova onde os dados se originaram, distribuição de chave privada e autenticação de transação e solicitação;
- Do segundo entre os novos tipos de registros é o registro SIG. Ele contém o hash assinado de acordo com o algoritmo especificado no registro ALG;
- Eos registros DNS são agrupados, em conjuntos chamados RRreg, com todos aqueles que têm o mesmo nome e o mesmo tipo.
Resposta comentada
Gabarito Alternativa B
O DNSSEC (Domain Name System Security Extensions) é uma extensão de segurança para o DNS que adiciona autenticação e integridade aos dados, protegendo contra ataques como o DNS spoofing, que tenta enganar os usuários direcionando-os para sites falsos.
(A) Incorreta: O DNSSEC não oferece sigilo (confidencialidade). Ele garante a autenticidade e a integridade dos dados, mas as informações do DNS são públicas por natureza. A ideia de que "todas as informações no DNS são consideradas privadas" é uma armadilha comum, pois segurança nem sempre significa privacidade.
(B) Correta: O DNSSEC introduz novos tipos de registros (como DNSKEY, RRSIG, NSEC, NSEC3, DS) e também pode usar registros existentes. O registro `CERT` (Certificate record), definido na RFC 2538, é um tipo de registro DNS que pode ser usado para armazenar certificados de chave pública. Embora não seja o registro principal para a cadeia de confiança do DNSSEC (que usa DNSKEY e RRSIG), ele é um registro válido no contexto DNS que pode armazenar certificados.
(C) Incorreta: O DNSSEC oferece autenticação da origem dos dados e integridade dos dados. Ele não distribui chaves privadas (apenas chaves públicas) e seu foco principal não é a autenticação de transação e solicitação de forma genérica, mas sim a autenticidade das respostas DNS.
(D) Incorreta: O registro principal para assinaturas no DNSSEC é o `RRSIG` (Resource Record Signature), não `SIG`. O registro `SIG` era um tipo mais antigo e foi substituído pelo `RRSIG` na RFC 4034. O `RRSIG` contém a assinatura digital de um conjunto de registros, não apenas um hash, e o algoritmo é especificado dentro do próprio registro `RRSIG` e referenciado pelo `DNSKEY`.
(E) Incorreta: Os registros DNS são agrupados em conjuntos chamados RRsets (Resource Record Sets), não `RRreg`. Um RRset agrupa todos os registros de recurso com o mesmo nome, tipo e classe.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.