| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
security / Opinie
Authoritative nameservers vatbaar voor Kaminsky lek
In tegenstelling tot vele berichten op het internet blijkt dat authoritative nameservers ook vatbaar zijn voor het Dan Kaminsky lek.
Quote Computable
"Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Ze kunnen binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites. Ook bijvoorbeeld het File Transfer Protocol (FTP) kan misbruikt worden via het lek, net als het authenticatie- en encryptieprotocol Secure Socket Layer (SSL). Internetbanken gebruiken SSL om geldtransacties over http te beveiligen (via https). Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken. Volgens Kaminksy vormt Windows Update hierop een uitzondering."
In tegenstelling tot wat bovenstaand beschreven staat, zijn Authoritative name servers ook vatbaar voor het Dan Kaminsky lek.
De authoritative nameservers staan in rijen opgesteld. de zogenaamde top domain servers staan boven aan in de hierarchie. Deze zijn niet vatbaar, omdat er geen requests op gedaan worden door particulieren of bedrijven. Alle requests die op deze servers gedaan worden komen vanaf vooraf gedefinieerde name servers. De tweede rij Authoritative name servers daarentegen is wel vatbaar.
De in een eerder artikel beschreven tool die rondwaart op het internet, en die ik steeds meer en meer tegenkom is in staat om beide servers aan te vallen.
Het verschil zit in de "flags" die meegestuurd worden met de valse DNS-replies. Een forwarder of recursion name server verwacht een Recursion desired bit set, en de valse repley dient deze dus ook te bevatten. Een Authoritative name server verwacht een 'iteration query', dus dient de bit set als 'unset' meegegeven te worden.
Door van te voren te bepalen welk type een name server is, is het dus mogelijk om ook deze aan te vallen. het risico wat er nu nog bestaat is dat valse tabellen door name servers doorgegeven gaan worden en dus ook de topdomain servers besmet kunnen raken.
- Mailservers nog kwetsbaar voor DNS-lek
- DNS-lek ondermijnt vertrouwen in internet
- Gepatchte DNS-servers binnen tien uur over te nemen
- Nederlander vond als eerste details DNS-lek
- DNS-lek maakt internetbankieren onveilig
- DNS-patches vertragen internetverkeer
- DNSSEC enige oplossing tegen DNS-lek
- Gepatchte DNS-servers binnen een dag te hacken
- Kaminsky geeft meer details over DNS-lek
Neem kontakt met mij op via email, en ik zal je een stuk verder op weg helpen.
- 12:42 ECM onmisbaar in het 'nieuwe werken'
- 12:00 Online quiz Computable, vraag 9
- 11:26 Apple raadt antimalware aan voor Mac
- 10:40 EU-bestrijding cybercrime is vijfjarenplan
- 12:00 Online quiz Computable, vraag 8
- 10:10 EU vraagt hulp bedrijven tegen cybercrime
- 12:00 Online quiz Computable, vraag 7
- 12:00 Online quiz Computable, vraag 6
- 15:50 EU pakt cybercrime aan
- 12:07 SonicWALL beveiliging voor EBS en SBS
Meer Security
Security 3.0: de nieuwste generatie beveiligingsoplossingen (klad)
Het gebeurt nog te veel dat ondernemingen zich slechts beveiligen tegen problemen die zich reeds hebben voorgedaan, waardoor er een onbetrouwbaar systeem van controls ontstaat. Deze whitepaper licht ontwikkelingen in beveiligingsoplossingen toe en gaat daarbij met name in op de nieuwste generatie...... Download nu
Security èn toegevoegde waarde met een goede secure desktop solution
De toegenomen mobiliteit van medewerkers en de bijbehorende wens om overal te kunnen communiceren, maar ook overheidsmaatregelen voor informatiemanagement compliceren de rol van IT-afdelingen. Deze whitepaper belicht geïntegreerde security-oplossingen die niet alleen hun primaire taak goed...... Download nu
Meer Security whitepapersComputable Events Security
Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
SonicWALL beveiliging voor EBS en SBS
28-11 12:07 SonicWALL, specialist in de beveiliging van netwerkinfrastructuur, kondigt Email Security en Network Security Appliance voor Windows Small Business Server (SBS) en Essential...
Meer security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Meer security praktijkLege stoelen bij Pinewood
13-11 09:48 Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...
Meer security achtergrondECM onmisbaar in het 'nieuwe werken'
02-12 12:42 Het nieuwe werken wordt in steeds meer bedrijven toegepast. Mondiale intergratie, opkomst van de digitale revolutie, toenemende vergrijzing, continue connectiviteit en overheids-...
Meer security opinieBekijk de leveranciers op het gebied van Security.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
Hoe kan je nou een response naar een toplevel server faken? van wie zou die *TOP*-level (emphasis on TOP) server dan responses verwachten ?
Ik zie dus niet in hoe je toplevel servers zou kunnen "infecteren".
Daarnaast halen de authoritative servers de refferals bij iteratieve queries uit hun eigen zone-info en doen daar geen uitgaande queries voor. Ook zij kunnen dus niet voorzien worden van fake reply's.
Wederom ben ik zeer benieuwd naar je testopstelling waarmee je dit aangetoond hebt.
En last but not least: Je resolving nameserver doet wel degelijk requests aan de TLD's. Het is niet zo dat de ene nameserver het stokje overgeeft aan de _hoger_ gelegen nameserver in de hierarchie. De recursive nameserver zal zelf de hierarchie aflopen met requests totdat ie de juiste authoritative nameserver heeft gevonden.