De Amerikaanse overheid neemt maatregelen tegen het DNS-gat. De regering stelt gebruik van DNSSEC verplicht voor overheidsinstanties.
Het Witte Huis legt Amerikaanse overheidsinstanties gebruik van DNS-beveiligingsmaatregelen op. Zo moeten alle overheidsorganen voortaan DNSSEC (domain name system security extensions) gebruiken voor hun internetverbindingen. Dat is een uitbreiding van internetbasisprotocol DNS die controleert of de bron van een dataverzending en de data zelf in orde is.
De regering van de Verenigde Staten zorgt er hiermee voor dat misbruik van het grote beveiligingsgat in DNS niet langer een gevaar kan zijn voor overheidsverkeer. Het in juli onthulde gat stelt kwaadwillenden in staat internetverkeer om te leiden, zonder dat reguliere beveiligingssoftware dat doorheeft. Dit betreft niet alleen webverkeer, maar ook andere toepassingen zoals mail, FTP (file transfer protocol) en zelfs het voor internetbankieren gebruikte SSL (secure socket layer).
Niet beschermd
DNSSEC is eerder al genoemd als enige oplossing voor het DNS-gat. De patches die tegelijk met het bekend maken van het lek door leveranciers beschikbaar zijn gesteld vormen slechts een lapmiddel. Misbruik van het DNS-lek is nog altijd mogelijk.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Bert Hubert, ontwikkelaar van Power DNS: "Elke werknemer zou op die link moeten klikken. Wanneer de DNS-server van zijn bedrijf niet gepatcht is, moet hij de systeembeheerder bestoken."
Het lek dat Kaminsky ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
