Nieuws / Security

Home pijltje Alle Artikelen pijltje Nieuws pijltje Security

'Getronics incompetent bij DNS-patch Amsterdam'

21-08-2008 11:57 | Door Diederik Toet | Lees meer artikelen over: DNS, Malware, SSL, Patches | Lees meer over het bedrijf: Getronics | Er zijn 4 reacties op dit artikel | Permalink
Amsterdam

De Amsterdamse PvdA-fractie vindt dat ict-dienstverlener Getronics incompetent is bij het dichten van het DNS-beveiligingslek op het stadhuis. Anderhalve maand na verschijning van een patch zou het lek niet zijn gedicht.

De Amsterdamse gemeenteraadsfractie van de PvdA beticht Getronics van incompetentie bij het tijdig patchen van het beveiligingslek in het DNS-systeem van het stadhuis. Raadslid Sabina Gazic vraagt in een brief aan het college van B&W hoe het kan dat anderhalve maand na het verspreiden van de patch de gemeentelijke servers nog steeds kwetsbaar zijn. Eerder had ze daartoe op haar fractiekamer in het stadhuis het serverlek opgespoord via een DNS-checker. De checker is speciaal ontwikkeld om de kwetsbaarheid van servers te controleren.

De internetservers van de gemeente Amsterdam worden verzorgd door Getronics. Gazic vraagt de burgemeester en wethouders of zij het met haar eens zijn dat de dienstverlener incompetentie mag worden verweten. Het raadslid wil bovendien weten of het college het onwenselijk vindt dat de gemeente ‘veel langer dan andere organisaties en particulieren in ons land, onbeschermd is gelaten'. "Welke kwaliteitseisen bij het uitbesteden van het netwerkbeheer worden gehanteerd voor het alert reageren op bekend geworden beveiligingsproblemen?", vraag ze zich af.

Het college heeft de schriftelijke vragen nog niet beantwoord. Getronics heeft nog niet kunnen reageren op de beschuldigingen van het PvdA-gemeenteraadlid.

DNS-lek

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die beveiligingsonderzoeker Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.

Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Ze kunnen binnen 0,7 seconden na de start van een ‘brute force' aanval de macht grijpen over een (ongepatchte) name server en de cache daarvan vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites.

Ook bijvoorbeeld het File Transfer Protocol (FTP) valt te onderscheppen via het lek, net als het authenticatie- en encryptieprotocol Secure Socket Layer (SSL). Internetbanken gebruiken SSL voor het beveiligen van geldtransacties die via http lopen (https). Ook automatische software updatediensten zijn na de overname van een name server te misbruiken. Bijvoorbeeld om malware binnen bedrijfsnetwerken te krijgen. Volgens Kaminsky vormt Windows Update hierop een uitzondering.

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder.

Plaats dit artikel op LinkedIn
Plaats dit artikel op Twitter
Reacties op dit artikel
Geen ratingAndre van Santvliet, 21-08-2008 16:13
Sabina, dan hebben wij het hier in Rotterdam beter voor elkaar ;-)
 
Your name server, at xxxx.xx.xx.xx, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.
 
Maar ja, wij doen het dan ook zelf ;-
Andr?
Geen ratingjoop, 21-08-2008 23:28
Getronics, he? Verbaast mij niets: met de lage salarissen die de Getronics-directie betaalt aan hun personeel, is het niet meer dan logisch dat men niet hard loopt voor dergelijke calamiteiten. Getronics staat al jaren bekend als een zeer slecht betalende werkgever.
 
Geen ratingR.Vermeij, 26-08-2008 17:30
Getronics... zijn dat niet de ict-ers de meer verstand hebben van beursgangen en bedrijfsovernames i.p.v. de bits and the bytes en diehard ict knowledge
 
Geen ratingEdgar, 25-04-2009 23:15
Het probleem lag niet bij Getronics maar bij de gemeente (firewall), jammer dat er zo over deze medewerkers wordt gesproken, zij zijn zeer competent.
Meer Nieuws
Volg het Computable ICT-nieuws via TwitterVoeg het Computable ICT-nieuws toe aan je iGoogle-paginaAbonneer je op de Computable ICT-nieuws RSS-feed

10-02   Infor helpt Ferrari met bouwen F1-auto's

10-02   Tester Four Oaks in Israëlische handen

10-02   IS Online en Tres zijn klaar voor Elfstedentocht

10-02   SecureLink migreert Microsoft-diensten Atradius

Aantal reacties
13

10-02   Nieuwe software brengt Vitens in problemen

10-02   Ex-Misys-topman moet CSC uit penarie helpen

10-02   Veenman en 20/20 vision adviseren samen klant

10-02   Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02   Misys en Temenos willen fuseren

10-02   Raet stelt Schrijnemaekers als nieuwe CFO aan

Meer Security
rss

10-02  SecureLink migreert Microsoft-diensten Atradius

09-02  Vodafone: Wij spelen klantinformatie niet door

Aantal reacties
1

09-02  Lang leve de hackers!

Aantal reacties
2

09-02  'Ook met cookiewet is gebruiker niet anoniem'

Aantal reacties
1

09-02  'KPN koppelt ID aan internetverkeer'

Aantal reacties
4

08-02  'Nieuwe cookiewet is eenvoudig te omzeilen'

Aantal reacties
3

07-02  Eigen werknemer kan ook een vijand zijn

Aantal reacties
9

03-02  'Overheid vreest voor veiligheid in de cloud'

01-02  F5 beschermt openbare websites

31-01  Publieksvoorlichting is belangrijke taak voor NCSC
Gerelateerde artikelen

02-12-09  Gratis iPhone city guide Amsterdam

07-09-09  SURFnet ondersteunt veilig internetprotocol

Aantal reacties
2

04-06-09  Internet krijgt beveiligd DNS-protocol

29-04-09  Inter Access beheert Amsterdamse ICT

06-04-09  SecureLink richt Haags DNS/DHCP-netwerk in

25-02-09  .com-domein krijgt beveiligd DNS-protocol

Aantal reacties
3

06-01-09  Kaminsky vond DNS-lek dankzij fitnessongelukje

Aantal reacties
1

12-11-08  Windows 7 biedt betere DNS-beveiliging

11-11-08  Organisaties verwaarlozen DNS-infrastructuur

10-11-08  Nederland patcht slechter tegen Kaminsky-lek

08-09-08  Getronics ontkent gestuntel met DNS-patch

02-09-08  SIDN: vanaf 2009 overstap naar DNSsec

22-08-08  Getronics: niets mis met Amsterdamse DNS

Aantal reacties
3

22-08-08  Aantal DNS-aanvallen neemt toe

Aantal reacties
2

18-08-08  Mailservers nog kwetsbaar voor DNS-lek

13-08-08  DNS-lek ondermijnt vertrouwen in internet

Security whitepapers

Best Practices om laptop-data te beschermen

In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren		Gemiddelde
waardering
Klik voor meer info1 154 6.4
Klik voor meer info2 120 6.7
Klik voor meer info3 109 6.4
Klik voor meer info4 79 6.6
Klik voor meer info5 53 6.1
Klik voor meer info6 49 6.3
Klik voor meer info7 47 6.5
Klik voor meer info8 43 6.1
Klik voor meer info9 43 6.0
Klik voor meer info10 40 6.3
VNU Media Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers

Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media