Beveiligingsexperts denken dat slechts een deel van de bedrijven alle benodigde patches heeft doorgevoerd om het ernstige DNS-lek af te dekken dat begin juli bekend werd. Daarbij spelen drie factoren een rol: onbekendheid met het probleem, onderschatting van de ernst ervan en een nonchalant patchbeleid.
Ondanks de ernst van het DNS-lek, dat Dan Kaminsky begin juli bekend maakte, denken beveiligingsexperts dat slechts een minderheid van de ict-managers van het probleem op de hoogte is.
Bert Hubert, ontwikkelaar van Power DNS: "Het is mijn indruk dat de meeste grote internetproviders het gros van hun servers inmiddels aangepast hebben, maar dat met name het bedrijfsleven er nog niet echt aan begonnen is."
Pieter de Boer, security consultant bij Madison Gurkha: "Het probleem heeft nog relatief weinig bekendheid gekregen. Microsoft heeft een patch beschikbaar gesteld, maar niet zijn klanten aangeschreven. En de gebruikers van de open source DNS-server BIND zijn niet bekend, omdat het om een open source product gaat."
Probleem is ernstig
Dat het probleem ernstig is, blijkt volgens de Boer alleen al doordat vendors massaal patches hebben uitgebracht. De Boer: "Tot nu toe hadden kwaadwillenden via een ‘brute kracht'-methode alleen de kans dat hun aanval zou lukken. Ze moesten snel genoeg zijn, anders werd hun bombardement ontdekt. Via de door Kaminsky ontdekte methode is succes gegarandeerd."
Een aanval kan van binnenuit worden gedaan, maar ook van buitenaf, bijvoorbeeld via de browser van werknemers, door websites die Trojaanse paarden verspreiden.
Patchbeleid nonchalant
Het patchbeleid van de meeste bedrijven is volgens de Boer tamelijk nonchalant. Er kunnen volgens de security consultant ‘een paar maanden overheen gaan' voordat patches binnen een bedrijf daadwerkelijk worden doorgevoerd. De Boer: "Zoiets kost gewoon tijd. De meeste bedrijven hebben het installeren van patches niet geautomatiseerd. Systeembeheerders willen de uitwerking van patches eerst in een testomgeving bestuderen. Ze zijn beducht om wijzigingen aan te brengen in een werkende productieomgeving."
Een Amerikaans beveiligingsbedrijf, Matasano Security, heeft maandagmiddag korte tijd een beschrijving van het ernstige DNS-lek, dat Dan Kaminsky begin juli bekend maakte, in een blog online gezet. De blog is inmiddels verwijderd, maar het kwaad is geschied. Op andere blogs is inmiddels een beschrijving van de precieze aard van het DSN-lek terug te vinden.
Om beveiligingsredenen wilde Dan Kaminsky pas op 6 augustus, tijdens de Black Hat beveiligingsconferentie in Las Vegas, details over het DNS-lek bekend maken. Kaminsky zwijgt in alle talen over de juistheid van de beschrijving van Matasano, maar meldt wel op zijn weblog: "Patch. Vandaag. Nu."