Quando a F-Secure sugeriu a criação de um domínio chamado .bank para os bancos, me pareceu uma boa idéia. Mas logo que “oficializaram” a posição e publicaram um artigo desenvolvendo a idéia, uma tempestade de críticas logo se formou. Não por menos: a idéia não resolve problema algum.
- Não protege contra alterações no HOSTs, nem envenenamento de DNS que poderia redirecionar os domínios para sites falsos. É verdade que o SSL resolve este problema, mas se temos o SSL para isto, então para que outra checagem igual?
- Quem determina quem é, de fato, uma instituição financeira? Será que um “banco” registrado na Nigéria não merece o domínio? E se os criminosos conseguem fazer mais do que 50 mil dólares para conseguir investir na idéia?
- Usuários que caem em phishing não são muito espertos e não saberiam a diferença entre citi.bank e pwn.ru/www.citi.bank/
- Pequenas cooperativas não teriam dinheiro pra registrar o domínio e continuaríam usando o que usam atualmente
- Bancos nunca se importaram em fazer URLs fáceis de reconhecer e nunca usaram SSL corretamente
Então para que o .bank afinal, se os usuários não vão ser beneficiados? Simples: para que alguém faça o trabalho das companhias de segurança. Veja que fácil: basta colocar um pequeno módulo no software que identifica todos os sites “.bank” como “seguros” e o trabalho está feito. Como os criminosos não registraríam o domínio (não vale a pena), eles estariam certos em praticamente 100% das vezes!
Não sou eu que estou dizendo, é a própria F-Secure. Olhe lá:
People are stupid and would not notice such a new address scheme.
The main point of such a new TLD would not be that users would suddenly get a clue and would learn to read the web addresses correctly (although for those who do read the URLs, this would be obviously be an improvement). The main point is that it would allow the users’ software to work better. Security software and browser toolbars would essentially have a “white list” to work with.
What about security researchers?
This would make life easier for security researchers to figure out which sites are not phishing sites. This really isn’t as obvious as it sounds, as banks themselves use tons of different domains. We often spend precious time trying to confirm whether a particular phishy-sounding domain really belongs to a real bank or not.
“É muito difícil determinar se um site é realmente do banco e precisamos de ajuda”. Se a F-Secure dissesse isto, seria mais honesto. Mas não precisamos resolver, para os bancos, um problema que eles mesmo criaram.
Para início de conversa estes são usuários que não verificam o cadeado no canto do navegador. Se precisamos de mais soluções de software, é para isto que estão tentando vender o supervalorizado EV-SSL, que só existe porque o SSL nunca foi usado corretamente.
Pessoalmente já descartei esta idéia. Tentar resolver um problema que não existe não é inteligente. Precisamos não só de tecnologia, mas precisamos utilizar corretamente a tecnologia. Caso contrário ele nunca servirá ao seu propósito e este será esquecido. Já temos tecnologia para resolver este problema. Falta educação do usuário. E isto nenhum software vai resolver.