Managed hosting door True

DNS-lek maakt internetbankieren onveilig

Dit artikel delen:

SSL vormt geen vangnet tegen ‘het ergste internetbeveiligingsrisico sinds 1997’. Het 'Kaminskylek' biedt meer mogelijkheden tot misbruik dan mail afvangen en websitebezoekers omleiden naar nepsites. FTP, SSL en automatische softwareupdates zijn evenmin veilig voor hackers die eenmaal een nameserver gekaapt hebben.

Tijdens de langverwachte presentatie van Dan Kaminksy op beveiligingsconferentie Black Hat noemde de beveiligingsonderzoeker het door hem ontdekte lek in DNS ‘het ergste internetbeveilgingsrisico sinds 1997'.

Het lek maakt het voor kwaadwillenden mogelijk om binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache te vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites, zo maakte Kaminsky tijdens zijn presentiatie duidelijk.

Automatische update vatbaar - maar Windows niet

Zo zijn volgens Kaminsky bijvoorbeeld ook het File Transfer Protocol (FTP) via het Kaminskylek te misbruiken. Ook het authenticatie- en encryptieprotocol Secure Socket Layer (SSL) is vatbaar. Internetbanken gebruiken SSL om geldtranssacties over http te beveiligen (via https). Het protocol werd tot nu toe door veel beveiligingsdeskundigen gezien als een vangnet voor het DNS-lek.

Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken.  Volgens Kaminksy  vormt Windows Update hierop overigens een uitzondering.

Hij benadrukte echter dat het een misverstand is om te denken dat een bedrijf met een DNS-server die geen verzoeken van buitenaf afhandelt, veilig zou zijn.

Domino-effect

Kaminsky sprak van een ‘domino-effect'."Er zijn honderdduizenden verschillende paden die naar de ondergang leiden. Ik heb de tijd gehad om naar vier of vijf dominostenen te kijken. Het wordt alleen maar erger."

Goed nieuws was er ook. Volgens Kaminsky is tussen de zestig á zeventig procent van de DNS-servers wereldwijd inmiddels gepatcht. Twee weken geleden lag dat percentage nog op zo'n vijftig procent.

Het lek dat Kaminksy ontdekte

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Nederlander vond als eerste details DNS-lek

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken

Apple-patch voor DNS-lek deugt niet

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Veilig internetbankieren ondanks DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

Cruciaal beveiligingslek in Domain Name System

DNSsec wordt wereldwijd meest gebruikt bij .NL

SURFnet ondersteunt veilig internetprotocol

Oud-agent wordt hoogleraar webcriminaliteit

Internet krijgt beveiligd DNS-protocol

.com-domein krijgt beveiligd DNS-protocol

Kaminsky vond DNS-lek dankzij fitnessongelukje

Microsoft: Lek in SSL is geen groot gevaar

Internetbankieren niet meer veilig door SSL-lek

Windows 7 biedt betere DNS-beveiliging

Organisaties verwaarlozen DNS-infrastructuur

Nederland patcht slechter tegen Kaminsky-lek

Amsterdam neemt Getronics in bescherming

SIDN: vanaf 2009 overstap naar DNSsec

Firefox beschermt tegen DNS-gat

Authoritative nameservers vatbaar voor Kaminsky lek

Mailservers nog kwetsbaar voor DNS-lek

Internetbankieren onveilig ondanks 3x kloppen

Is de IP-protocolsuite überhaupt wel veilig?

Getest: exploittool voor DNS-lek

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen


Reacties

De oplossing voor de thuis pc-gebruiker is erg eenvoudig. In de regel bezoekt de thuisgebruiker een paar vaste en risicovolle sites. Denk aan sites voor aankoop goederen en banken voor telebankieren. Het voldoet hier deze sites af te schermen. Dit kan door de betreffende ip-addressen en hun vertaling in het HOSTS bestand op te nemen. In Windows aangeven dat HOSTS een hogere prioriteit krijgt dan de DNS vertaling. Controleer of de schrijfrechten op HOSTS ontbreekt voor de groep Users en Power Users. Wie dan, zoals ik, altijd onder een Restricted User Account werkt kan zorgeloos surfen en met gerust hart telebankieren. Het verdient aanbeveling belangrijke ip-addressen altijd op de pc te vertalen en niet buiten het zicht waardoor een dergelijk risico ontstaat.

Het hele SSL-verhaal is mij even onduidelijk.
SSL waarborgt de logische verbinding met de server. Op het moment dat je omgerouteerd wordt kom je op een server uit waar geen geldig SSL-certificaat op geinstalleerd is.

De doorsnee crimineel voelt er immers weinig voor om eerst met de billen bloot te gaan om een SSL-certificaat te krijgen voor een domein dat hij/zij niet bezit.

Dus als je omgeleid wordt, zal je een foutmelding/waarschuwing krijgen dat er iets mis is met het certificaat. Wat er dan verder gebeurt is aan de gebruiker, maar dat is niet anders dan normaal.

Dus waar kan ik info vinden over hoe het SSL-vangnet dan automatisch omzeild wordt?

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2008-08-08T11:15:00.000Z Jolein de Rooij
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.