Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
   Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief
Online quiz
Vodafone 360 Samsung H1

Win

Vodafone 360
Samsung H1
smartphone!


Home pijltje ICT Topics pijltje Security pijltje Nieuws

security / Nieuws

04-08-2008 16:22 | Door Jolein de Rooij | Tags: DNS, Providers, Patch, Internet, Website, Overnames, DNS-lek | Er is 1 reactie op dit artikel | Permalink

Gepatchte DNS-servers binnen een dag te hacken

Ook nadat een beveiligingspatch is geïnstalleerd tegen een ernstig DNS-lek kunnen criminelen internetgebruikers omleiden naar nepsites en hun mailberichten afvangen. Het enige verschil is dat het kapen van een DNS-server niet 0,7 seconden duurt, maar gemiddeld minder dan één dag.

PowerDNS-ontwikkelaar Bert Hubert meldt dat iemand "meestal binnen een dag" een DNS-server kan overnemen, ook als die server gepatcht is tegen het lek dat Dan Kaminsky begin juli wereldkundig maakte. Hubert: "Die persoon kan dan al het internetverkeer dat via die server loopt manipuleren."

Eerder namen beveiligingsexperts aan dat een crimineel drie weken nodig zou hebben om een gepatchte DNS-server over te nemen. Hubert rekende uit dat na één dag de kans al 64% is dat een aanval slaagt. Criminelen kunnen internetgebruikers dan ongemerkt omleiden naar nepsites of hun mailberichten onderscheppen.

Zonder patch duurt een aanval minder dan een seconde, zo demonstreerden hackers vorige week donderdag tijdens een beveiligingsconferentie in Dublin. Een derde van de Nederlandse DNS-servers is nog steeds niet gepatcht. Daartoe behoren ook DNS-servers van providers.

Brute force-aanval

Beveiligingsexperts zijn het erover eens dat de huidige patch onvoldoende bescherming biedt. DNS blijft kwetsbaar voor cachevervuilingsaanvallen. De nu verpreide patch beveiligt DNS-servers door de afzenderpoort van UDP-pakketten willekeurig te maken (met een variatie van 16 bits). Via een ‘brute force'-aanval kan iemand nog steeds de juiste poort raden.

Hubert: "Op dit moment kost het enkele dagen en honderden gigabytes om een domein over te nemen. Als het alleen om computable.nl gaat is dat een hoop werk, maar als het om het hele .nl, of het.com-domein gaat is dat voor een crimineel zeker de moeite waard. Hoewel het op zou moeten vallen wanneer  een crimineel probeert de juiste afzenderpoort te raden, zijn er genoeg providers aan het slaapwandelen. Het is dus mogelijk dat een crimineel een gepatchte DNS-server bij een provider overneemt zonder dat die provider daar iets van merkt."

Botnets

De nieuwe aanvallen vergen tientallen a honderden gigabytes aan netwerkverkeer, iets wat niet iedere aanvaller ter beschikking heeft. Hubert: "Het vermoeden bestaat dat botnets op dit moment aangepast worden om dit soort overnames uit te voeren, via duizenden of honderdduizenden gehackte computers".

Op een bijeenkomst van de Internet Engineering Task Force in Dublin vorige week besloot de IETF om voorlopig geen nieuwe patches uit te brengen voor het DNS-lek.

Het lek dat Kaminsky ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.
Gerelateerde artikelen
Reacties op dit artikel
Peter, 05-08-2008 9:15
Dus eerst wordt je als beheerder er maar vooral op gewezen dat je de patch moet installeren, en wordt er publiekelijk nog eens op gehamerd dat er nog steeds providers zijn die dat nog niet hebben gedaan om een paar dagen later weer te vernemen dat je wel kunt patchen, maar de patch in feite onvoldoende bescherming biedt en er nu door een hoop bedrijven al een hoop kosten zijn gemaakt en risico's om zonder testscenario maar zo snel mogelijk de nodige patches uit te voeren.
Nieuws
Voeg het Computable ICT-nieuws toe aan uw iGoogle-paginarss
Meer nieuws
rssMeer Security
Security Whitepapers

Tijd om de Firewall te repareren

In de laatste decenia, het toegenomen volume aan internet content, bedreigingen en applicaties op het bedrijfsnetwerk......

Security whitepapers

Computable Events - Security

event

Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Webcast Security | 10-04-08
Security Producten

Symantec Brightmail Gateway 9.0 en Data Insight

12-03 10:30   Symantec introduceert de Brightmail Gateway 9.0 en Symantec Data Insight. Deze nieuwste messaging security platformen bieden volgens Symantec een verbeterde beveiliging door...

Security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Security praktijk
Security Achtergrond

Op veilige manier kunnen anywhere-ken

15-02 17:44   Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt dan ook veel vanuit leveranciers, maar ook vanuit overheden, gestimuleerd. Termen als 'efficiënter...

Security achtergrond
Security Opinie

SaaS verhoogt noodzaak host-based intrusion protection-systeem

11-03 11:09   Network-based intrusion prevention/detection-systemen op de perimeter van het netwerk zijn inmiddels voor vele organisaties gemeengoed geworden. Maar waar blijft de acceptatie van...

Security opinie
Computable IT directory
Pinewood Automatisering BV
Delft
Pinewood Automatisering is specialist in netwerk- en databeveiliging. Onze focus ligt op securit...Toon details
ZyXEL Communications BV
Hoofddorp
ZyXEL is ‘s werelds grootste DSL router leverancier en loopt bovendien voorop als het gaat om de...Toon details
Replica Data Security
Utrecht
Replica Data Security biedt oplossingen voor het beveiligen van documenten tegen uitval en inbreuk op mobiele...Toon details
Vind meer bedrijven op IT Directory.nl
VNU Media Bluedome Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / Banen.nl / CompanyRating / IntermediairPW / HRbase.nl / Financebase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / IT Directory.nl / Computable / CRN / Tweakers.net / Koopinfo / IT Knowledge Base /

Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © 1995-2010 VNU Media