Kaminsky geeft meer details over DNS-lek

Beveiligingsonderzoeker Dan Kaminsky heeft meer details gegeven over het DNS-lek. Hij benadrukt opnieuw dat het essentieel is om meteen te patchen. De helft van alle DNS-servers ter wereld is nog niet gepatcht.

Dan Kaminsky, de beveilingsonderzoeker die begin juli de internetgemeentschap waarschuwde voor een ernstig DNS-lek, heeft donderdag in een conference call met Amerikaanse journalisten iets meer details gegeven over het DNS-lek. Deze details komen overeen met de beschrijving die een Amerikaans beveiligingsbedrijf maandagmiddag al korte tijd in een blog online had staan.

Kaminsky benadrukt opnieuw dat het essentieel is om meteen te patchen. Op zijn weblog schrijft hij dat ict'ers daarvoor desnoods (test-)procedures moeten negeren: "Veel mensen zullen procedures moeten overtreden en extra uren maken." Op deze weblog beschrijft hij ook - in de vorm van een metafoor - wat de essentie is van het DNS-lek waarover hij eind maart een select gezelschap leveranciers informeerde.

Begin juli berichtte hij in relatief vage termen over de kwestie aan de hele internetgemeenschap. De meeste patches van leveranciers waren toen beschikbaar. Kaminsky riep de beveiligingsgemeenschap op niet publiekelijk te speculeren over de preciese aard van het DNS-lek, om zo de wereld de kans te geven bijtijds te patchen. Deze oproep heeft in beperkte mate effect gehad. Pas na dertien dagen lekten er details uit. Kaminsky geeft op zijn weblog aan blij te zijn met die tijdswinst.

Inmiddels is de eerste code opgedoken die misbruik maakt van het DNS-lek en toegevoegd aan een open source tool die zowel hackers als beveiligingsexperts gebruiken om de beveiliging van systemen te testen: Metasploit.

Helft gepatcht

Kaminsky biedt een gratis online tool aan waarmee internetsurfers kunnen controleren of de DNS-server die zij gebruiken kwetsbaar is voor het lek. Dat blijkt op dit moment in 52 procent van de gevallen zo te zijn.

Kaminsky gebruikt de beeldspraak van een racewedstrijd, waarbij een 'bad guy' probeert een nummer te raden tussen de 0 en 65536. De kans dat hij juist raadt is klein, maar hij kan steeds een nieuwe race starten. Maar Kaminsky realiseerde zich in maart dat de situatie nog ernstiger is: via een achterdeurtje kan een kwaadwillend persoon zoveel wedstrijden tegelijk starten als hij wil. Dat doet hij door een DNS-server niet te vragen om www.computable.nl, maar door het ‘third level' van deze domeinnaam te variëren. Hij vraagt dus naar het ip-adres van 1.computable.nl, 2.computable.nl, enzovoort. Het DNS-protocol accepteert die herhaalde verzoeken, ook al hebben ze allemaal betrekking op dezelfde domeinnaam.

Kaminksy schrijft: "De slechterik kan zoveel races rijden als hij wil. En uiteindelijk zal hij er eentje winnen." In de praktijk kan een kwaadwillend persoon binnen tien seconden het identificatienummer van een vertaalverzoek goed raden, en vervolgens de DNS-server vervuilen met een foutief ip-adres.