Details DNS-lek uitgelekt

Details van het ernstige DNS-lek dat begin juli door beveiligingsonderzoeker Dan Kaminsky bekend werd gemaakt, zijn uitgelekt. Daarmee is de noodzaak om te patchen flink verhoogd. De huidige patch vormt slechts een tijdelijk lapmiddel. Toch dringt Kaminsky aan op onmiddelijke installatie ervan.

Een Amerikaans beveiligingsbedrijf, Matasano Security, heeft maandagmiddag korte tijd een beschrijving van het ernstige DNS-lek, dat Dan Kaminsky begin juli bekend maakte, in een blog online gezet. De blog is inmiddels verwijderd, maar het kwaad is geschied. Op andere blogs is inmiddels een beschrijving te vinden van de manier waarop kwaadwillenden misbruik kunnen maken van het DSN-lek. De beschreven methode zou aanvallen op DNS-servers mogelijk maken die binnen tien seconden afgerond zijn.

Om beveiligingsredenen wilde Dan Kaminsky pas op 6 augustus, tijdens de Black Hat beveiligingsconferentie in Las Vegas, details over het DNS-lek bekend maken. Kaminsky zwijgt in alle talen over de juistheid van de beschrijving van Matasano, maar meldt wel op zijn weblog: "Patch. Vandaag. Nu."

Huidige patch is tijdelijk lapmiddel

Pieter de Boer, security consultant bij Madison Gurkha: "De patch die vendors momenteel ter beschikking stellen voor het DNS-lek dat door Dan Kaminsky gesignaleerd is, is in feite een tijdelijk lapmiddel. De patch wijzigt de name server zodanig dat deze UDP-pakketten verstuurt met een willekeurige afzenderpoort in plaats van een vaste (DNS maakt gebruik van het UDP-protocol, een basisprotocol van het internet). Maar het verandert niets aan de oorzaak van het probleem: dat het DNS-protocol niet genoeg bescherming biedt tegen vervuilings-aanvallen op DNS-servers. De huidige patches zorgen ervoor dat het lastiger wordt. Een echte oplossing zou aanpassingen aan het protocol betekenen (zodat het nog weer enkele factors lastiger wordt), of beter nog: het gebruik van DNSSEC (waarmee DNS-servers via cryptografie worden beveiligd)."