Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
  Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief

security / Nieuws

08-08-2008 11:15 | Door Jolein de Rooij | Tags: Beveiliging, DNS | Er zijn 2 reacties op dit artikel | Permalink

DNS-lek maakt internetbankieren onveilig

SSL vormt geen vangnet tegen ‘het ergste internetbeveiligingsrisico sinds 1997’. Het 'Kaminskylek' biedt meer mogelijkheden tot misbruik dan mail afvangen en websitebezoekers omleiden naar nepsites. FTP, SSL en automatische softwareupdates zijn evenmin veilig voor hackers die eenmaal een nameserver gekaapt hebben.

Tijdens de langverwachte presentatie van Dan Kaminksy op beveiligingsconferentie Black Hat noemde de beveiligingsonderzoeker het door hem ontdekte lek in DNS ‘het ergste internetbeveilgingsrisico sinds 1997'.

Het lek maakt het voor kwaadwillenden mogelijk om binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache te vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites, zo maakte Kaminsky tijdens zijn presentiatie duidelijk.

Automatische update vatbaar - maar Windows niet

Zo zijn volgens Kaminsky bijvoorbeeld ook het File Transfer Protocol (FTP) via het Kaminskylek te misbruiken. Ook het authenticatie- en encryptieprotocol Secure Socket Layer (SSL) is vatbaar. Internetbanken gebruiken SSL om geldtranssacties over http te beveiligen (via https). Het protocol werd tot nu toe door veel beveiligingsdeskundigen gezien als een vangnet voor het DNS-lek.

Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken.  Volgens Kaminksy  vormt Windows Update hierop overigens een uitzondering.

Hij benadrukte echter dat het een misverstand is om te denken dat een bedrijf met een DNS-server die geen verzoeken van buitenaf afhandelt, veilig zou zijn.

Domino-effect

Kaminsky sprak van een ‘domino-effect'."Er zijn honderdduizenden verschillende paden die naar de ondergang leiden. Ik heb de tijd gehad om naar vier of vijf dominostenen te kijken. Het wordt alleen maar erger."

Goed nieuws was er ook. Volgens Kaminsky is tussen de zestig á zeventig procent van de DNS-servers wereldwijd inmiddels gepatcht. Twee weken geleden lag dat percentage nog op zo'n vijftig procent.

Het lek dat Kaminksy ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.
bekijk reacties (2) print stuur door
Reacties op dit artikel
Cees van Buuren, 08-08-2008 14:48
De oplossing voor de thuis pc-gebruiker is erg eenvoudig. In de regel bezoekt de thuisgebruiker een paar vaste en risicovolle sites. Denk aan sites voor aankoop goederen en banken voor telebankieren. Het voldoet hier deze sites af te schermen. Dit kan door de betreffende ip-addressen en hun vertaling in het HOSTS bestand op te nemen. In Windows aangeven dat HOSTS een hogere prioriteit krijgt dan de DNS vertaling. Controleer of de schrijfrechten op HOSTS ontbreekt voor de groep Users en Power Users. Wie dan, zoals ik, altijd onder een Restricted User Account werkt kan zorgeloos surfen en met gerust hart telebankieren. Het verdient aanbeveling belangrijke ip-addressen altijd op de pc te vertalen en niet buiten het zicht waardoor een dergelijk risico ontstaat.
willem, 08-08-2008 18:17
Het hele SSL-verhaal is mij even onduidelijk.
SSL waarborgt de logische verbinding met de server. Op het moment dat je omgerouteerd wordt kom je op een server uit waar geen geldig SSL-certificaat op geinstalleerd is.
 
De doorsnee crimineel voelt er immers weinig voor om eerst met de billen bloot te gaan om een SSL-certificaat te krijgen voor een domein dat hij/zij niet bezit.
 
Dus als je omgeleid wordt, zal je een foutmelding/waarschuwing krijgen dat er iets mis is met het certificaat. Wat er dan verder gebeurt is aan de gebruiker, maar dat is niet anders dan normaal.
 
Dus waar kan ik info vinden over hoe het SSL-vangnet dan automatisch omzeild wordt?
rssMeer Security
Security Whitepapers

Microsoft Security Report 2008: dreigingen en trends

De noodzaak voor goede Security is groter dan ooit. In dit uitgebreide onderzoekrapport leest u alles over trends op gebied van exploits, kwetsbaarheden, malware in 2008.... Download nu

Top 5 strategieën voor moderne security-bedreigingen

In deze whitepaper worden de implicaties en werkwijze beschreven van moderne security-bedreigingen. Welke aanpak zorgt voor de beste security? Wat zijn de voor- en nadelen van verschillende technieken en hoe komt u tot de meest efficiënte security-strategie? Dat leest u in deze whitepaper.... Download nu

Meer Security whitepapers

Computable Events Security

event

Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Security Producten

Orange Business Services Secure My Device

21-11 14:56   Telecomdienstverlener Orange Business Services introduceert Secure My Device. Het gaat hier om een nieuwe beveiligingsoplossing voor computergebruik op afstand en mobiel gebruik...

Meer security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Meer security praktijk
Security Achtergrond

Lege stoelen bij Pinewood

13-11 09:48   Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...

Meer security achtergrond
Security Opinie

Ik ben een hotfix back-patcher

21-11 07:14   Elk vak heeft zijn eigen jargon, dat is nu eenmaal zo. Wij automatiseerders en informatiseerders hebben er een handje van om DLA's te gebruiken, de bekende drieletterige...

Meer security opinie
IT Directory

Bekijk de leveranciers op het gebied van Security.