Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
   Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief
Winnaar Lof-prijs Vakinformatie 2009

Home pijltje ICT Topics pijltje Security pijltje Nieuws

security / Nieuws

01-08-2008 15:06 | Door Jolein de Rooij | Tags: Beveiliging, DNS, Patch, Internet, DNS-lek | Er zijn nog geen reacties op dit artikel | Permalink

Geen nieuwe patches ondanks DNS-gevaar

Beveiligingsexperts zijn het er over eens dat de huidige patch tegen een ernstig DNS-lek onvoldoende beveiliging biedt. Desondanks heeft de Internet Engineering Task Force besloten voorlopig niets te doen. Het uitbrengen van steeds nieuwe patches zou contraproductief werken.

Op een bijeenkomst van de Internet Engineering Task Force (IETF) in Dublin is donderdag besloten voorlopig geen nieuwe patches uit te brengen voor het ernstige DNS-lek waarmee het mogelijk is websites te ‘kapen' en mailberichten af te vangen.

Bert Hubert, ontwikkelaar van PowerDNS: "Netwerkbeheerders trekken het niet als elke drie maanden elke DNS-server gepatcht moet worden. Daarom is besloten eerst heel goed na te denken over vervolgstappen."

Providers onvoldoende beveiligd

Desondanks zijn beveiligingsexperts het erover eens dat de huidige patch onvoldoende bescherming biedt. DNS blijft kwetsbaar voor cachevervuilingsaanvallen. De nu verpreide patch beveiligt DNS-servers door de afzenderpoort van UDP-pakketten willekeurig te maken (met een variatie van 16 bits). Via een ‘brute force'-aanval kan iemand nog steeds de juiste poort raden. Hubert: "Hoewel het op zou moeten vallen wanneer een crimineel probeert de juiste afzenderpoort te raden, zijn er genoeg providers aan het slaapwandelen. Het is dus mogelijk dat een crimineel een gepatchte DNS-server bij een provider overneemt zonder dat die provider daar iets van merkt."

Een derde van de Nederlandse DNS-servers is nog steeds niet gepatcht. Daartoe behoren ook DNS-servers van providers.

Aanval duurt nog geen seconde

Op de bijeenkomst van de IETF in Dublin demonstreerden hackers dat criminelen binnen 0,7 seconden de cache van een ongepatchte DNS-server kunnen vervuilen met foute ip-adressen. Eerder werd nog gesproken over een interval van tien seconden.

Gewapend beton-oplossing

Op de IETF-bijeenkomst lieten prominente leden van de DNS-werkgroep weten te verwachten dat de invoer van DNSSEC - een zwaar beveiligd DNS-protocol - om praktische redenen nog jaren op zich laat wachten. Hubert is blij met dat uitstel: "DNSSEC is echt een gewapend beton-oplossing, maar vereist dat netwerkbeheerders regelmatig nieuwe sleutels creëren. Die eis is weinig realistisch. Netwerkbeheerders zijn het zicht op hun DNS-infrastructuur vaak kwijt. Ze zijn gewend dat DNS gewoon werkt. Los daarvan: je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt."
Het lek dat Kaminsky ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.
Gerelateerde artikelen
Reageer
Nieuws
Voeg het Computable ICT-nieuws toe aan uw iGoogle-paginarss
Meer nieuws
rssMeer Security
Security Whitepapers

Vul het gat tussen bedrijfsverwachtingen en IT-mogelijkheden

Door de groei van het internet en het aantal toepassingen (bijvoorbeeld databescherming en applicatiebeschikbaarheid),......

Security whitepapers

Computable Events - Security

event

Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Webcast Security | 10-04-08
Security Producten

Simpana geschikt voor de cloud

05-02 11:56   CommVault voorziet zijn Simpana-software van een geïntegreerde cloud-storageverbinding. Hiermee kunnen klanten back-up- en archiefdata op locatie veilig, betrouwbaar en...

Security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Security praktijk
Security Achtergrond

Kaspersky Benelux: 'We komen er hoe dan ook uit'

05-02 13:57   Er is veel gezegd en geschreven over het conflict tussen Kaspersky Lab Benelux en het Russische hoofdkantoor van Kaspersky. De modder vloog over en weer en beide kemphanen hebben...

Security achtergrond
Security Opinie

ISO 27001: cloudbeveiliging

08-02 21:21   Wanneer een organisatie gebruik gaat maken van de nieuwe mogelijkheden van cloud computing heeft dit veel gevolgen, ook voor de ISO 27001-certificering. In deze analyse wordt aan...

Security opinie
Computable IT directory
Pinewood Automatisering BV
Delft
Pinewood Automatisering is specialist in netwerk- en databeveiliging. Onze focus ligt op securit...Toon details
ZyXEL Communications BV
Hoofddorp
ZyXEL is ‘s werelds grootste DSL router leverancier en loopt bovendien voorop als het gaat om de...Toon details
Replica Data Security
Utrecht
Replica Data Security biedt oplossingen voor het beveiligen van documenten tegen uitval en inbreuk op mobiele...Toon details
Vind meer bedrijven op IT Directory.nl
VNU Media Bluedome Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / Banen.nl / CompanyRating / IntermediairPW / HRbase.nl / Financebase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / IT Directory.nl / Computable / CRN / Tweakers.net / Koopinfo / IT Knowledge Base /

Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © 1995-2010 VNU Media