Gepatchte DNS-servers binnen tien uur over te nemen

11-08-2008 10:46 | Door Jolein de Rooij | Lees meer artikelen over: DNS, Malware, SSL, Patches | Er is 1 reactie op dit artikel | Permalink

Gepatchte DNS-servers zijn opnieuw een stukje onveiliger. Een geslaagde aanval hoeft nu nog maar tien uur in beslag te nemen, in plaats van een dag. Zonder patch duurt een aanval minder dan een seconde. Beveiligingsonderzoeker Dan Kaminsky: "Dus er is een reden dat je niemand hoort zeggen 'patch niet'. "

De Russische Linux-kernelbeheerder Evgeniy Polyakov beschrijft op zijn blog een aanval op gepatchte DNS-servers, die binnen tien uur tot succes (vervuiling van de cache) leidt.

Zonder patch duurt een aanval minder dan een seconde, zo demonstreerden hackers anderhalve week geleden tijdens een beveiligingsconferentie in Dublin. Beveiligingsonderzoeker Dan Kaminsky, die het DNS-lek ontdekte waarvoor de patch ontwikkeld is, schrijft hierover op zijn weblog: "Dus er is een reden dat je niemand hoort zeggen 'patch niet'. En die reden is dat - ook al hebben we iedereen verteld dat deze patch een lapmiddel is - we nog steeds in de problemen zitten met DNS, alleen minder."

Kaminsky staat nog altijd achter de huidige patch, die ervoor zorgt dat de name server UDP-pakketten verstuurt met een willekeurige afzenderpoort in plaats van een vaste. Kaminsky op zijn blog: "Bijna elke aanval waar we op stuiten, wordt ernstig gehinderd door de afzenderpoortrandomisering." Over DNSSEC, een beveiligder variant van DNS: "DNSSEC is misschien een oplossing voor de langere termijn. Maar het was dat zeker niet voor de korte termijn."

Binnen een nacht overgenomen

Nog geen week geleden rekende PowerDNS-ontwikkelaar Bert Hubert uit dat na één dag de kans al 64% is dat een DNS-server wordt overgenomen, ook als die gepatcht is tegen het lek dat Dan Kaminsky begin juli wereldkundig maakte. Nu blijkt dat dus al in tien uur te kunnen.

Volgens Polyakov kan de aanval nog veel sneller worden uitgevoerd als snellere computers worden ingezet dan hij gebruikte: "Als je en Gigabit-LAN hebt, kan een machine waarop een Trojan is geïnstalleerd je DNS-server binnen een nacht vergiftigen."

Eerder namen beveiligingsexperts aan dat een crimineel drie weken nodig zou hebben om een gepatchte DNS-server over te nemen.

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder.

Het lek dat Kaminsky ontdekte

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Ze kunnen binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites. Ook bijvoorbeeld het File Transfer Protocol (FTP) kan misbruikt worden via het lek, net als het authenticatie- en encryptieprotocol Secure Socket Layer (SSL). Internetbanken gebruiken SSL om geldtransacties over http te beveiligen (via https). Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken. Volgens Kaminksy vormt Windows Update hierop een uitzondering.

Remco Bakker, 13-08-2008 10:04

In 2004 is er al eens een threat analysis gedaan van DNS, dit is gepubliceerd onder RFC3833. In sectie 2.2 en 2.3 zijn de gebruikte kwetsbaarheden al beschreven. Niemand had toen bedacht dat dit in enkele seconden was uit te voeren en toen Dan Kaminsky dit ontdekte had dat grote gevolgen. De oplossing die nu bedacht is maakt de aanval moeilijker, maar indien een aanvaller grote aantallen slachtoffers kan bereiken, is de kans statistisch gezien weer groter dat het lukt bij enkele slachtoffers. Op dit moment is de aanval dus nog steeds mogelijk, maar het kost meer resources (denk aan botnet) en het is veel beter te detecteren. Natuurlijk zijn er genoeg providers die geen moeite zullen doen en dus kwetsbaar blijven, maar het installeren van de patch is geen onnodige actie geweest.

Het structureel oplossen kost onderzoek en vergt zelfs mogelijk aanpassingen aan de DNS specificaties. Dit is niet iets wat zomaar even risicoloos uitgevoerd kan worden en ik begrijp dat IETF hier zeer terughoudend in is. Dit heeft niets te maken met te weinig actie ondernemen, maar met een mega operatie waarin afwegingen van verschillende risico's een rol spelen, beveiligingsrisico's en ook operationele risico's.

De kern van het probleem zit hem in de schaal grote. We hebben een internet gedefinieerd op protocollen, waarvan we al lang weten dat er kwetsbaarheden inzitten. Nieuwe ontwikkelingen bieden goede alternatieven, maar deze zijn gewoon praktisch heel moeilijk in te voeren, omdat iedereen 'mee moet doen'.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Gepatchte DNS-servers binnen tien uur over te nemen

Binnen een nacht overgenomen

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

07-09-09 SURFnet ondersteunt veilig internetprotocol

04-06-09 Internet krijgt beveiligd DNS-protocol

25-02-09 .com-domein krijgt beveiligd DNS-protocol

06-01-09 Kaminsky vond DNS-lek dankzij fitnessongelukje

12-11-08 Windows 7 biedt betere DNS-beveiliging

11-11-08 Organisaties verwaarlozen DNS-infrastructuur

10-11-08 Nederland patcht slechter tegen Kaminsky-lek

05-09-08 Amsterdam neemt Getronics in bescherming

02-09-08 SIDN: vanaf 2009 overstap naar DNSsec

22-08-08 Aantal DNS-aanvallen neemt toe

19-08-08 Authoritative nameservers vatbaar voor Kaminsky lek

18-08-08 Internetbankieren onveilig ondanks 3x kloppen

18-08-08 Mailservers nog kwetsbaar voor DNS-lek

14-08-08 Is de IP-protocolsuite überhaupt wel veilig?

14-08-08 Getest: exploittool voor DNS-lek

13-08-08 DNS-lek ondermijnt vertrouwen in internet

08-08-08 Nederlander vond als eerste details DNS-lek

08-08-08 DNS-lek maakt internetbankieren onveilig

06-08-08 DNS-patches vertragen internetverkeer

05-08-08 DNSSEC enige oplossing tegen DNS-lek

Best Practices om laptop-data te beschermen