DNS-lek maakt internetbankieren onveilig

08-08-2008 11:15 | Door Jolein de Rooij | Lees meer artikelen over: Hacking, DNS, Malware, SSL, Patches | Er zijn 2 reacties op dit artikel | Permalink

SSL vormt geen vangnet tegen ‘het ergste internetbeveiligingsrisico sinds 1997’. Het 'Kaminskylek' biedt meer mogelijkheden tot misbruik dan mail afvangen en websitebezoekers omleiden naar nepsites. FTP, SSL en automatische softwareupdates zijn evenmin veilig voor hackers die eenmaal een nameserver gekaapt hebben.

Tijdens de langverwachte presentatie van Dan Kaminksy op beveiligingsconferentie Black Hat noemde de beveiligingsonderzoeker het door hem ontdekte lek in DNS ‘het ergste internetbeveilgingsrisico sinds 1997'.

Het lek maakt het voor kwaadwillenden mogelijk om binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache te vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites, zo maakte Kaminsky tijdens zijn presentiatie duidelijk.

Automatische update vatbaar - maar Windows niet

Zo zijn volgens Kaminsky bijvoorbeeld ook het File Transfer Protocol (FTP) via het Kaminskylek te misbruiken. Ook het authenticatie- en encryptieprotocol Secure Socket Layer (SSL) is vatbaar. Internetbanken gebruiken SSL om geldtranssacties over http te beveiligen (via https). Het protocol werd tot nu toe door veel beveiligingsdeskundigen gezien als een vangnet voor het DNS-lek.

Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken. Volgens Kaminksy vormt Windows Update hierop overigens een uitzondering.

Hij benadrukte echter dat het een misverstand is om te denken dat een bedrijf met een DNS-server die geen verzoeken van buitenaf afhandelt, veilig zou zijn.

Domino-effect

Kaminsky sprak van een ‘domino-effect'."Er zijn honderdduizenden verschillende paden die naar de ondergang leiden. Ik heb de tijd gehad om naar vier of vijf dominostenen te kijken. Het wordt alleen maar erger."

Goed nieuws was er ook. Volgens Kaminsky is tussen de zestig á zeventig procent van de DNS-servers wereldwijd inmiddels gepatcht. Twee weken geleden lag dat percentage nog op zo'n vijftig procent.

Het lek dat Kaminksy ontdekte

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.

Cees van Buuren, 08-08-2008 14:48

De oplossing voor de thuis pc-gebruiker is erg eenvoudig. In de regel bezoekt de thuisgebruiker een paar vaste en risicovolle sites. Denk aan sites voor aankoop goederen en banken voor telebankieren. Het voldoet hier deze sites af te schermen. Dit kan door de betreffende ip-addressen en hun vertaling in het HOSTS bestand op te nemen. In Windows aangeven dat HOSTS een hogere prioriteit krijgt dan de DNS vertaling. Controleer of de schrijfrechten op HOSTS ontbreekt voor de groep Users en Power Users. Wie dan, zoals ik, altijd onder een Restricted User Account werkt kan zorgeloos surfen en met gerust hart telebankieren. Het verdient aanbeveling belangrijke ip-addressen altijd op de pc te vertalen en niet buiten het zicht waardoor een dergelijk risico ontstaat.

willem, 08-08-2008 18:17

Het hele SSL-verhaal is mij even onduidelijk.
SSL waarborgt de logische verbinding met de server. Op het moment dat je omgerouteerd wordt kom je op een server uit waar geen geldig SSL-certificaat op geinstalleerd is.

De doorsnee crimineel voelt er immers weinig voor om eerst met de billen bloot te gaan om een SSL-certificaat te krijgen voor een domein dat hij/zij niet bezit.

Dus als je omgeleid wordt, zal je een foutmelding/waarschuwing krijgen dat er iets mis is met het certificaat. Wat er dan verder gebeurt is aan de gebruiker, maar dat is niet anders dan normaal.

Dus waar kan ik info vinden over hoe het SSL-vangnet dan automatisch omzeild wordt?

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	153	6.4
2	Reza Sarshar	119	6.6
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

DNS-lek maakt internetbankieren onveilig

Automatische update vatbaar - maar Windows niet

Domino-effect

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

07-09-09 SURFnet ondersteunt veilig internetprotocol

25-08-09 Oud-agent wordt hoogleraar webcriminaliteit

04-06-09 Internet krijgt beveiligd DNS-protocol

25-02-09 .com-domein krijgt beveiligd DNS-protocol

06-01-09 Kaminsky vond DNS-lek dankzij fitnessongelukje

01-01-09 Microsoft: Lek in SSL is geen groot gevaar

31-12-08 Internetbankieren niet meer veilig door SSL-lek

12-11-08 Windows 7 biedt betere DNS-beveiliging

11-11-08 Organisaties verwaarlozen DNS-infrastructuur

10-11-08 Nederland patcht slechter tegen Kaminsky-lek

05-09-08 Amsterdam neemt Getronics in bescherming

02-09-08 SIDN: vanaf 2009 overstap naar DNSsec

26-08-08 Firefox beschermt tegen DNS-gat

19-08-08 Authoritative nameservers vatbaar voor Kaminsky lek

18-08-08 Internetbankieren onveilig ondanks 3x kloppen

18-08-08 Mailservers nog kwetsbaar voor DNS-lek

14-08-08 Is de IP-protocolsuite überhaupt wel veilig?

14-08-08 Getest: exploittool voor DNS-lek

13-08-08 DNS-lek ondermijnt vertrouwen in internet

11-08-08 Gepatchte DNS-servers binnen tien uur over te nemen

Best Practices om laptop-data te beschermen