Beveiligingsonderzoeker Dan Kaminsky heeft meer details gegeven over het DNS-lek. Hij benadrukt opnieuw dat het essentieel is om meteen te patchen. De helft van alle DNS-servers ter wereld is nog niet gepatcht.
Dan Kaminsky, de beveilingsonderzoeker die begin juli de internetgemeentschap waarschuwde voor een ernstig DNS-lek, heeft donderdag in een conference call met Amerikaanse journalisten iets meer details gegeven over het DNS-lek. Deze details komen overeen met de beschrijving die een Amerikaans beveiligingsbedrijf maandagmiddag al korte tijd in een blog online had staan.
Kaminsky benadrukt opnieuw dat het essentieel is om meteen te patchen. Op zijn weblog schrijft hij dat ict'ers daarvoor desnoods (test-)procedures moeten negeren: "Veel mensen zullen procedures moeten overtreden en extra uren maken." Op deze weblog beschrijft hij ook – in de vorm van een metafoor – wat de essentie is van het DNS-lek waarover hij eind maart een select gezelschap leveranciers informeerde.
Begin juli berichtte hij in relatief vage termen over de kwestie aan de hele internetgemeenschap. De meeste patches van leveranciers waren toen beschikbaar. Kaminsky riep de beveiligingsgemeenschap op niet publiekelijk te speculeren over de preciese aard van het DNS-lek, om zo de wereld de kans te geven bijtijds te patchen. Deze oproep heeft in beperkte mate effect gehad. Pas na dertien dagen lekten er details uit. Kaminsky geeft op zijn weblog aan blij te zijn met die tijdswinst.
Inmiddels is de eerste code opgedoken die misbruik maakt van het DNS-lek en toegevoegd aan een open source tool die zowel hackers als beveiligingsexperts gebruiken om de beveiliging van systemen te testen: Metasploit.
Helft gepatcht
Kaminsky biedt een gratis online tool aan waarmee internetsurfers kunnen controleren of de DNS-server die zij gebruiken kwetsbaar is voor het lek. Dat blijkt op dit moment in 52 procent van de gevallen zo te zijn.
Kaminsky gebruikt de beeldspraak van een racewedstrijd, waarbij een 'bad guy' probeert een nummer te raden tussen de 0 en 65536. De kans dat hij juist raadt is klein, maar hij kan steeds een nieuwe race starten. Maar Kaminsky realiseerde zich in maart dat de situatie nog ernstiger is: via een achterdeurtje kan een kwaadwillend persoon zoveel wedstrijden tegelijk starten als hij wil. Dat doet hij door een DNS-server niet te vragen om www.computable.nl, maar door het ‘third level' van deze domeinnaam te variëren. Hij vraagt dus naar het ip-adres van 1.computable.nl, 2.computable.nl, enzovoort. Het DNS-protocol accepteert die herhaalde verzoeken, ook al hebben ze allemaal betrekking op dezelfde domeinnaam.
Kaminksy schrijft: "De slechterik kan zoveel races rijden als hij wil. En uiteindelijk zal hij er eentje winnen." In de praktijk kan een kwaadwillend persoon binnen tien seconden het identificatienummer van een vertaalverzoek goed raden, en vervolgens de DNS-server vervuilen met een foutief ip-adres.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Bert Hubert, ontwikkelaar van Power DNS: "Elke werknemer zou op die link moeten klikken. Wanneer de DNS-server van zijn bedrijf niet gepatcht is, moet hij de systeembeheerder bestoken."
Bankrekening plunderen
Het DNS-protocol is één van de fundamenten van het internet en wordt gebruikt om het ip-adres te achterhalen waarnaar een mailadres of domeinnaam verwijst. Het door Kaminsky ontdekte beveiligingslek maakt het voor kwaadwillenden mogelijk om mailberichten af te vangen en om internetgebruikers naar nepsites te sturen.
Dat opent allerlei mogelijkheden voor criminelen, zoals het optuigen van een look-a-like internetbankiersite. Met zo'n nepsite kunnen dieven inlognamen, wachtwoorden en beveiligingscodes afvangen en ondertussen de bankrekening op de echte site plunderen.
