Beheerder patcht DNS-lek vaak ongemerkt
Ook al zijn veel netwerkbeheerders zich niet bewust van het ernstige DNS-lek dat beveiligingsonderzoeker Dan Kaminsky begin juli wereldkundig maakte, er is ook goed nieuws. Patchen gaat vaak ongemerkt via de periodieke patchrondes die softwareleveranciers aanbieden. Dat geldt zowel voor Windows als voor opensourcebesturingssystemen.
De netwerkbeheerder van VNU Media reageert verbaasd als hij - vers terug van vakantie - een compliment van een collega ontvangt over het patchen van de DNS-server van zijn bedrijf. Tot dat moment heeft hij zich niet gerealiseerd dat hij actie had moeten ondernemen. "Alleen internet service providers moeten die patch toch installeren?"
Dat de DNS-server van de Haarlemse uitgeverij desondanks gepatcht is voor het het ernstige DNS-lek dat Dan Kaminsky in januari ontdekte, komt doordat VNU Media gebruik maakt van de Microsoft DNS-server. Omdat de netwerkbeheerder keurig elke maand de patches installeert die Microsoft klaarzet, beveiligt de Kaminsky-patch voor Windows inmiddels de DNS-infrastructuur.
De collega die de netwerkbeheerder complimenteerde, heeft op het knopje 'Check My DNS' geklikt dat Kaminsky op zijn weblog heeft staan. Op die manier spoort deze beveiligingsonderzoeker werknemers aan te controleren of de DNS-server binnen hun bedrijf gepatcht zijn.
Automatisch patchen
De netwerkbeheerder van VNU Media is ongetwijfeld niet de enige die de ernst van het probleem onderschat. Bert Hubert, ontwikkelaar van Power DNS: "DNS-nieuws krijgt zelden aandacht, zelfs niet nu het om zo'n ernstig probleem gaat. De reden daarvoor is dat mensen gewend zijn dat DNS gewoon werkt."
Dat desondanks de helft van alle DNS-servers gepatcht is, is te danken aan de omzichtige manier waarop Dan Kaminsky zijn vondst in de openbaarheid bracht. Eind maart informeerde hij een select gezelschap van leveranciers. Toen op 9 juli het nieuws wereldkundig werd gemaakt, konden de meeste leveranciers hun klanten daardoor meteen een patch aanbieden. Dertien dagen later dook pas de eerste exploitcode op. Op dat moment was ongeveer de helft van alle DNS-servers ter wereld gepatcht.
Ook binnen de opensourcewereld is de situatie minder ernstig dan hij had kunnen zijn. De meeste gebruikers van de opensource DNS-server BIND hebben automatisch een patch voor het DNS-lek voorgeschoteld gekregen. Wouter Hanegraaff van OpenOffice, dat onderhoudsdiensten levert voor opensource software: "Alleen gebruikers die zelf hun DNS-server compileren, bijvoorbeeld omdat ze eigen code willen toevoegen, moeten zelf een patch ontwikkelen. Dat geldt bijvoorbeeld voor grote gebruikers zoals internet service providers.
"Maar de meeste gebruikers van BIND hebben het pakket geïnstalleerd samen met hun besturingssysteem. Distributeurs van Linux-varianten zoals Red Hat, Debian en Ubuntu sturen klanten periodiek updates. Daar horen ook updates bij voor meegeleverde opensource software, zoals BIND."
Nonchalant patchbeleid
Dat slechts de helft van de DNS-servers ter wereld gepatcht is, komt waarschijnlijk door het nonchalante patchbeleid van de meeste bedrijven. Pieter de Boer, security consultant bij Madison Gurkha, zei hierover eerder tegen Computable dat er ‘een paar maanden overheen kan gaan' voordat patches binnen een bedrijf daadwerkelijk worden doorgevoerd."
De netwerkbeheerder van VNU Media hoeft zich dus niet te schamen. De uitgever heeft relatief snel de patches voor de Windows DNS-server geïnstalleerd.
Het DNS-protocol is één van de fundamenten van het internet en wordt gebruikt om het ip-adres te achterhalen waarnaar een mailadres of domeinnaam verwijst. Het door beveiligingsonderzoeker Dan Kaminsky ontdekte beveiligingslek maakt het voor kwaadwillenden mogelijk om mailberichten af te vangen en om internetgebruikers naar nepsites te sturen. Dat opent allerlei mogelijkheden voor criminelen, zoals het optuigen van een look-a-like internetbankiersite. Met zo'n nepsite kunnen dieven inlognamen, wachtwoorden en beveiligingscodes afvangen en ondertussen de bankrekening op de echte site plunderen.
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
11-11-08 Organisaties verwaarlozen DNS-infrastructuur
10-11-08 Nederland patcht slechter tegen Kaminsky-lek
05-09-08 Amsterdam neemt Getronics in bescherming
02-09-08 SIDN: vanaf 2009 overstap naar DNSsec
18-08-08 Internetbankieren onveilig ondanks 3x kloppen
18-08-08 Mailservers nog kwetsbaar voor DNS-lek
14-08-08 Getest: exploittool voor DNS-lek
13-08-08 DNS-lek ondermijnt vertrouwen in internet
13-08-08 Macht verleidt beheerder
11-08-08 Gepatchte DNS-servers binnen tien uur over te nemen
08-08-08 Nederlander vond als eerste details DNS-lek
08-08-08 DNS-lek maakt internetbankieren onveilig
06-08-08 DNS-patches vertragen internetverkeer
05-08-08 DNSSEC enige oplossing tegen DNS-lek
04-08-08 Gepatchte DNS-servers binnen een dag te hacken
04-08-08 Apple-patch voor DNS-lek deugt niet
01-08-08 Geen nieuwe patches ondanks DNS-gevaar
01-08-08 Apple brengt patch uit voor DNS-lek
30-07-08 DNS-servers aangevallen
30-07-08 Niet alle providers gepatcht tegen DNS-lek
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Het lijkt me dat je toch op een of andere manier bij mijn dns-server moet kunnen komen om je vulnerability uit te kunnen voeren.
- Doe je dat met een bijlage in een mailtje ? (vangt mijn dure virusscanner dat niet af ?)
- Open ik twijfelachtige websites ?
- Werkt mijn phishing-filter niet meer ?
Of lukt het alleen als iemand op de lijn meeluistert naar mijn internetverkeer ?
Kortom hoe loop ik risico ?
Als ik dat weet kan ik zelf de grootte van het risico inschatten in plaats van af te moeten gaan op alle dreigende berichten.
Gerard