| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
Internet / Opinie
Getest: exploittool voor DNS-lek
Op het internet waart een tool rond die het voor iedereen mogelijk maakt om een poging te doen om DNS-servers van valse tabellen te voorzien. Het gebruiksgemak van de tool is beangstigend hoog, net als de effectiviteit ervan: in mijn testopstelling werden gepatchte DNS-servers binnen dertig minuten overgenomen.
Toen eind juli details bekend werden van het ernstige DNS-lek dat beveiligingsonderzoeker Dan Kaminksy ontdekte, dook al snel exploitcode op. Inmiddels zijn er tools in omloop waarmee ook leken aanvallen kunnen uitvoeren op DNS-servers. Daarmee kunnen ze de inhoud van deze adresboeken van het internet vervalsen, waardoor websitebezoekers naar nepsites kunnen worden omgeleid en mail kan worden afgevangen.
Ik heb één van deze tools getest om te zien hoe gevaarlijk deze is. De naam van de tool noem ik om begrijpelijke redenen niet.
Ongepatcht: twee tot vijf seconden
De tool bied de mogelijkheid om zowel gepatchte als ongepatchte DNS-servers aan te vallen. Alleen zal het bij gepatchte servers vele malen langer duren. De software ondersteunt twee methoden: de eerste aanvalsmethode richt zich tegen verwijzende (in het Engels: recursieve) DNS-servers (die veel ISP's gebruiken). Verwijzende DNS-servers worden ook wel ´caching´ nameservers genoemd. Dit type server is niet op de hoogte van alle domeinnamen op het hele internet, en stuurt daarom vertaalverzoeken aan ‘authoritive' DNS-servers. De tweede methode richt zich tegen Forwarder DNS-servers. Dit type DNS-server bevindt zich binnen een (bedrijfs-)netwerk en stuurt vertaalverzoeken door naar andere DNS-servers buiten dat netwerk.
De twee aanvalsmethoden verschillen alleen in de 'flag' die wordt meegestuurd met de valse DNS-replies, maar niet in de manier waarop ze hun doelwit proberen te misleiden: door veelvoudig valse reply's te sturen met verschillende TXID's (Transaction Identifiers). Op een ongepatchte server zijn er 65546 injecties nodig om het juiste identificatienummer te raden, maar door per 0,02 milliseconde 10 tot 15 injecties met verschillende TXID's te versturen is de ongepatchte server binnen 2 tot 5 seconden voorzien van verkeerde tabellen.
Met patch: dertig minuten
Erik Westhovens, CIO DeltaISIS
Gepatchte servers kennen een extra beveiligingslaag: de UDP-poort van verstuurde vertaalverzoeken is willekeurig (opnieuw zo'n 64000 mogelijkheden, wat de kans op een juiste gok verhoogt tot 64000 x 65546). Het raden van het juiste identificatienummer duurt daardoor veel langer. Beveiligingsexperts spraken tot nu toe van tijden tussen de tien a twintig uur. Tijdens de tests die ik heb uitgevoerd bleek het veel sneller te gaan, namelijk dertig minuten.
Het baart mij zorgen dat er tools in omloop zijn waarmee zo gemakkelijk DNS-servers vergiftigd kunnen worden met valse ip-adressen. Zelfs zonder verstand van DNS is het mogelijk om de cache van DNS-servers te vervuilen. Het enige positieve dat ik heb kunnen ontdekken is dat de logs van de gekraakte DNS-server het ip-adres van de exploiter onthouden. Dat biedt mogelijkheden om criminelen op te sporen.
Erik Westhovens
CIO DeltaISIS
Het DNS-lek onstaat doordat het gemakkelijk is om een serie van DNS-requests te sturen naar een DNS-server samen met de valse reply ip-adressen. Als er maar voldoende valse requests komen, dan worden zelfs bestaande tabellen overschreven. Voorbeeld: Als in de DNS server in de cache een entry staat voor www.computable.nl => 212.72.59.51 kan deze tijdens de aanval overschreven worden door www.computable.nl => 62.69.184.29. Mensen die via de besmette DNS server dan www.computable.nl resolven komen dan uit op de pagina van Nu.nl. Dit is dus wel een onschuldige site. Het word erger als mensen van www.uwbank.nl (als voorbeeld) naar een pagina geleid worden die er identiek uitziet, maar ervoor gebouwd is om gegevens van klanten te misbruiken. Zelfs SSL certificaten trappen hier in, en de gebruiker merkt hier helemaal niets van, verder dan dat op een gegeven moment de rekening geplunderd word.
Deze aanval is vrij gemakkelijk omdat de meeste DNS-servers de UDP source poort identiek houden. All requests in en uit gaan via dezelfde poort. De patch zorgt ervoor dat de UDP-poort willekeuirg gekozen wordt, waardoor er opeens zo'n 64000 mogelijkheden zijn. De aanval is dus niet onmogelijk, maar er moet een veelvoud aan requests gedaan worden voordat het lukt om tabellen te overschrijven.- VS verplicht DNSSEC voor overheid
- Aantal DNS-aanvallen neemt toe
- DNS-lek maakt internetbankieren onveilig
- DNS-patches vertragen internetverkeer
- DNSSEC enige oplossing tegen DNS-lek
- Gepatchte DNS-servers binnen een dag te hacken
- Apple-patch voor DNS-lek deugt niet
- Geen nieuwe patches ondanks DNS-gevaar
- Apple brengt patch uit voor DNS-lek
- DNS-servers aangevallen
- Niet alle providers gepatcht tegen DNS-lek
- Beheerder patcht DNS-lek vaak ongemerkt
- Apple heeft nog geen patch voor DNS-lek
- Kaminsky geeft meer details over DNS-lek
- Cisco: schakel DNS-server uit
- Zeker helft DNS-servers nog niet gepatcht
- Patchen DNS-lek is niet voldoende
- Minderheid bedrijven heeft DNS-lek gedicht
Het zou daarom gewaardeerd worden als u deze tool breder zou verspreiden voor onderzoek, of uiteen zou kunnen zetten hoe de aanval in zijn werk gaat.
Bert Hubert
PowerDNS
bert.hubert@netherlabs.nl
De enige reden die ik kan bedenken is dat de auteur van het artikel wil voorkomen dat anderen zijn onderzoeksresultaten kunnen verifieren, en dat programmeurs eventueel tegenmaatregelen kunnen implementeren.
Met andere woorden, de heer Westhovens maakt onderdeel uit van het probleem, niet van de oplossing.
Nou die bit voor forwarders vs caches is dan tenminste gefixed door de bad guys. De vorige exploits (die ik in het nieuws zag) waren ook zo sullig met die bit verkeerd.
Maar wat Bert zegt klopt - zo een snelle exploit is mij ook nog niet openbaar bekend - en dan kan ik weer begrijpen dat je hem niet op elke straathoek wilt weggeven.
Wouter (auteur http://unbound.net ; met DNSSEC).
- 15:55 Werksfeer belangrijkste reden overstap
- 11:41 Kaminsky vond DNS-lek dankzij fitnessongelukje
- 15:59 200 miljoen IPv4-adressen uitgedeeld in 2008
- 10:41 Marktaandeel Firefox groter dan twintig procent
- 09:20 VeriSign dicht SSL-lek
- 15:52 Paspoortchip kan identiteitsfraude vermijden
- 09:14 Microsoft: Lek in SSL is geen groot gevaar
- 13:42 Het einde van de IT-afdeling
- 13:11 Internetbankieren niet meer veilig door SSL-lek
- 14:59 '2009 wordt het jaar van Google'
Meer Internet
Het wat en hoe van Systeem & Netwerk Bewaking
Het monitoren van zakelijke TCP/IP-netwerken verdient een goede strategie vanwege het bedrijfskritische karakter ervan. Door zaken vroeg te signaleren kan downtime, problemen met hardware en aanverwante systemen voorkomen worden. Deze whitepaper behandelt hoe je processen voor mapping,...... Download nu
Kansen voor klantenservice telecombedrijven
Hoe hebben ICT-oplossingen invloed gehad op de klantenservice van telecombedrijven? Voor 95 procent van alle ondervraagde telecombedrijven heeft klantenservice de hoogste prioriteit. In hoeverre zij ook voldoen aan hun eigen verwachting en waar verbeterpunten liggen valt in deze whitepaper te lezen.... Download nu
Meer Internet whitepapersIE 7 versus Firefox
Het aandeel Firefox in de browsermarkt is toegenomen ondanks de komst van Internet Explorer 7. Daarmee is het Microsoft met zijn nieuwste internetprogramma niet gelukt om de groei van concurrent Mozilla af te zwakken, stelt Forrester Research.
'Microsoft kon groei van Firefox niet dempen'Slim omgaan met de traditionele database
16-12 14:47 Met de huidige technologieën lijkt het voor bedrijven steeds gemakkelijker te worden om nieuwe klanten te vinden. Zoekmachine marketing, Google AdWords en e-mailmarketing zijn op...
Meer internet opinieAccess point voor geleidelijke migratie naar 11n
03-12 15:17 Lancom Systems introduceert de L-315agn dual Wireless, een dual draadloze access point. Het apparaat omvat twee draadloze modules die zowel werken op de 2,4 als de 5 GHz...
Meer internet productenTwinpack doet financieën via internet
16-07 10:21 Een van de grotere verpakkingsgroothandels in Nederland, Twinpack, is gebruiker van Covide CRM-Groupware en daarover bijzonder tevreden. 'We kunnen nu een goed en op onze...
Meer internet praktijkHet einde van de IT-afdeling
31-12 13:42 Cloud computing, het succes van Salesforce.com, de groei van digitale sociale netwerken. Allemaal tekenen aan de wand: informatietechnologie wordt het domein van een paar grote...
Meer internet achtergrondBekijk de leveranciers op het gebied van Internet.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
Nu vraag ik mij wel af of dit iets zegt over het DNS probleem ansich of over de testopstelling, waar ik helaas geen inhoudelijke informatie over lees in dit stuk.
Het zou opzich erg informatief zijn als daar ook wat details over los gelaten zou worden.
Hoe ziet de netwerkarchitectuur van de testopstelling eruit bijvoorbeeld ? Op een eigen 1G LAN zul je natuurlijk compleet andere resultaten boeken dan wat representatief is voor "the real thing."
Wat de beschikbaarheid van de tools betreft : laat maar komen..
Hoe meer scriptkiddies (en CIO's) ermee spelen hoe eerder we met een goede oplossing moeten komen. Hopelijk ligt de tijd van DNS over UDP dan snel achter ons.