| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
security / Nieuws
Beheerder patcht DNS-lek vaak ongemerkt
Ook al zijn veel netwerkbeheerders zich niet bewust van het ernstige DNS-lek dat beveiligingsonderzoeker Dan Kaminsky begin juli wereldkundig maakte, er is ook goed nieuws. Patchen gaat vaak ongemerkt via de periodieke patchrondes die softwareleveranciers aanbieden. Dat geldt zowel voor Windows als voor opensourcebesturingssystemen.
De netwerkbeheerder van VNU Media reageert verbaasd als hij - vers terug van vakantie - een compliment van een collega ontvangt over het patchen van de DNS-server van zijn bedrijf. Tot dat moment heeft hij zich niet gerealiseerd dat hij actie had moeten ondernemen. "Alleen internet service providers moeten die patch toch installeren?"
Dat de DNS-server van de Haarlemse uitgeverij desondanks gepatcht is voor het het ernstige DNS-lek dat Dan Kaminsky in januari ontdekte, komt doordat VNU Media gebruik maakt van de Microsoft DNS-server. Omdat de netwerkbeheerder keurig elke maand de patches installeert die Microsoft klaarzet, beveiligt de Kaminsky-patch voor Windows inmiddels de DNS-infrastructuur.
De collega die de netwerkbeheerder complimenteerde, heeft op het knopje 'Check My DNS' geklikt dat Kaminsky op zijn weblog heeft staan. Op die manier spoort deze beveiligingsonderzoeker werknemers aan te controleren of de DNS-server binnen hun bedrijf gepatcht zijn.
Automatisch patchen
De netwerkbeheerder van VNU Media is ongetwijfeld niet de enige die de ernst van het probleem onderschat. Bert Hubert, ontwikkelaar van Power DNS: "DNS-nieuws krijgt zelden aandacht, zelfs niet nu het om zo'n ernstig probleem gaat. De reden daarvoor is dat mensen gewend zijn dat DNS gewoon werkt."
Dat desondanks de helft van alle DNS-servers gepatcht is, is te danken aan de omzichtige manier waarop Dan Kaminsky zijn vondst in de openbaarheid bracht. Eind maart informeerde hij een select gezelschap van leveranciers. Toen op 9 juli het nieuws wereldkundig werd gemaakt, konden de meeste leveranciers hun klanten daardoor meteen een patch aanbieden. Dertien dagen later dook pas de eerste exploitcode op. Op dat moment was ongeveer de helft van alle DNS-servers ter wereld gepatcht.
Ook binnen de opensourcewereld is de situatie minder ernstig dan hij had kunnen zijn. De meeste gebruikers van de opensource DNS-server BIND hebben automatisch een patch voor het DNS-lek voorgeschoteld gekregen. Wouter Hanegraaff van OpenOffice, dat onderhoudsdiensten levert voor opensource software: "Alleen gebruikers die zelf hun DNS-server compileren, bijvoorbeeld omdat ze eigen code willen toevoegen, moeten zelf een patch ontwikkelen. Dat geldt bijvoorbeeld voor grote gebruikers zoals internet service providers.
"Maar de meeste gebruikers van BIND hebben het pakket geïnstalleerd samen met hun besturingssysteem. Distributeurs van Linux-varianten zoals Red Hat, Debian en Ubuntu sturen klanten periodiek updates. Daar horen ook updates bij voor meegeleverde opensource software, zoals BIND."
Nonchalant patchbeleid
Dat slechts de helft van de DNS-servers ter wereld gepatcht is, komt waarschijnlijk door het nonchalante patchbeleid van de meeste bedrijven. Pieter de Boer, security consultant bij Madison Gurkha, zei hierover eerder tegen Computable dat er ‘een paar maanden overheen kan gaan' voordat patches binnen een bedrijf daadwerkelijk worden doorgevoerd."
De netwerkbeheerder van VNU Media hoeft zich dus niet te schamen. De uitgever heeft relatief snel de patches voor de Windows DNS-server geïnstalleerd.
Het DNS-protocol is één van de fundamenten van het internet en wordt gebruikt om het ip-adres te achterhalen waarnaar een mailadres of domeinnaam verwijst. Het door beveiligingsonderzoeker Dan Kaminsky ontdekte beveiligingslek maakt het voor kwaadwillenden mogelijk om mailberichten af te vangen en om internetgebruikers naar nepsites te sturen. Dat opent allerlei mogelijkheden voor criminelen, zoals het optuigen van een look-a-like internetbankiersite. Met zo'n nepsite kunnen dieven inlognamen, wachtwoorden en beveiligingscodes afvangen en ondertussen de bankrekening op de echte site plunderen.
- Organisaties verwaarlozen DNS-infrastructuur
- Nederland patcht slechter tegen Kaminsky-lek
- Amsterdam neemt Getronics in bescherming
- SIDN: vanaf 2009 overstap naar DNSsec
- Internetbankieren onveilig ondanks 3x kloppen
- Mailservers nog kwetsbaar voor DNS-lek
- DNS-lek ondermijnt vertrouwen in internet
- Macht verleidt beheerder
- Gepatchte DNS-servers binnen tien uur over te nemen
- Nederlander vond als eerste details DNS-lek
- DNS-lek maakt internetbankieren onveilig
- DNS-patches vertragen internetverkeer
- DNSSEC enige oplossing tegen DNS-lek
- Gepatchte DNS-servers binnen een dag te hacken
- Apple-patch voor DNS-lek deugt niet
- Geen nieuwe patches ondanks DNS-gevaar
- Apple brengt patch uit voor DNS-lek
- DNS-servers aangevallen
- Niet alle providers gepatcht tegen DNS-lek
- 18:31 Puzzel mee naar een Mobile Office t.w.v. € 8033!
- 15:32 Scriptie videosurveillance wint wedstrijd Logica
- 14:23 EU-gedragscode geeft datacenters energietips
- 12:39 Nieuwe fase in ICT: van technologie naar ethiek
- 12:00 E-mailloze vrijdag moet werkroutine doorbreken
- 12:19 KPN bestudeert zijn Belgische activiteiten
- 12:04 ICT'er vindt werkdruk te hoog
- 09:44 15 miljoen euro voor slimme ICT-oplossingen
- 11:29 Microsoft Dynamics zoekt partners
- 15:52 Getronics zoekt ICT'er op snowboard
Meer Security
Microsoft Security Report 2008: dreigingen en trends
De noodzaak voor goede Security is groter dan ooit. In dit uitgebreide onderzoekrapport leest u alles over trends op gebied van exploits, kwetsbaarheden, malware in 2008.... Download nu
Top 5 strategieën voor moderne security-bedreigingen
In deze whitepaper worden de implicaties en werkwijze beschreven van moderne security-bedreigingen. Welke aanpak zorgt voor de beste security? Wat zijn de voor- en nadelen van verschillende technieken en hoe komt u tot de meest efficiënte security-strategie? Dat leest u in deze whitepaper.... Download nu
Meer Security whitepapersComputable Events Security
Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
Orange Business Services Secure My Device
21-11 14:56 Telecomdienstverlener Orange Business Services introduceert Secure My Device. Het gaat hier om een nieuwe beveiligingsoplossing voor computergebruik op afstand en mobiel gebruik...
Meer security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Meer security praktijkLege stoelen bij Pinewood
13-11 09:48 Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...
Meer security achtergrondIk ben een hotfix back-patcher
21-11 07:14 Elk vak heeft zijn eigen jargon, dat is nu eenmaal zo. Wij automatiseerders en informatiseerders hebben er een handje van om DLA's te gebruiken, de bekende drieletterige...
Meer security opinieBekijk de leveranciers op het gebied van Security.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
Het lijkt me dat je toch op een of andere manier bij mijn dns-server moet kunnen komen om je vulnerability uit te kunnen voeren.
- Doe je dat met een bijlage in een mailtje ? (vangt mijn dure virusscanner dat niet af ?)
- Open ik twijfelachtige websites ?
- Werkt mijn phishing-filter niet meer ?
Of lukt het alleen als iemand op de lijn meeluistert naar mijn internetverkeer ?
Kortom hoe loop ik risico ?
Als ik dat weet kan ik zelf de grootte van het risico inschatten in plaats van af te moeten gaan op alle dreigende berichten.
Gerard