Ook al zijn veel netwerkbeheerders zich niet bewust van het ernstige DNS-lek dat beveiligingsonderzoeker Dan Kaminsky begin juli wereldkundig maakte, er is ook goed nieuws. Patchen gaat vaak ongemerkt via de periodieke patchrondes die softwareleveranciers aanbieden. Dat geldt zowel voor Windows als voor opensourcebesturingssystemen.
De netwerkbeheerder van VNU Media reageert verbaasd als hij – vers terug van vakantie – een compliment van een collega ontvangt over het patchen van de DNS-server van zijn bedrijf. Tot dat moment heeft hij zich niet gerealiseerd dat hij actie had moeten ondernemen. "Alleen internet service providers moeten die patch toch installeren?"
Dat de DNS-server van de Haarlemse uitgeverij desondanks gepatcht is voor het het ernstige DNS-lek dat Dan Kaminsky in januari ontdekte, komt doordat VNU Media gebruik maakt van de Microsoft DNS-server. Omdat de netwerkbeheerder keurig elke maand de patches installeert die Microsoft klaarzet, beveiligt de Kaminsky-patch voor Windows inmiddels de DNS-infrastructuur.
De collega die de netwerkbeheerder complimenteerde, heeft op het knopje 'Check My DNS' geklikt dat Kaminsky op zijn weblog heeft staan. Op die manier spoort deze beveiligingsonderzoeker werknemers aan te controleren of de DNS-server binnen hun bedrijf gepatcht zijn.
Automatisch patchen
De netwerkbeheerder van VNU Media is ongetwijfeld niet de enige die de ernst van het probleem onderschat. Bert Hubert, ontwikkelaar van Power DNS: "DNS-nieuws krijgt zelden aandacht, zelfs niet nu het om zo'n ernstig probleem gaat. De reden daarvoor is dat mensen gewend zijn dat DNS gewoon werkt."
Dat desondanks de helft van alle DNS-servers gepatcht is, is te danken aan de omzichtige manier waarop Dan Kaminsky zijn vondst in de openbaarheid bracht. Eind maart informeerde hij een select gezelschap van leveranciers. Toen op 9 juli het nieuws wereldkundig werd gemaakt, konden de meeste leveranciers hun klanten daardoor meteen een patch aanbieden. Dertien dagen later dook pas de eerste exploitcode op. Op dat moment was ongeveer de helft van alle DNS-servers ter wereld gepatcht.
Ook binnen de opensourcewereld is de situatie minder ernstig dan hij had kunnen zijn. De meeste gebruikers van de opensource DNS-server BIND hebben automatisch een patch voor het DNS-lek voorgeschoteld gekregen. Wouter Hanegraaff van OpenOffice, dat onderhoudsdiensten levert voor opensource software: "Alleen gebruikers die zelf hun DNS-server compileren, bijvoorbeeld omdat ze eigen code willen toevoegen, moeten zelf een patch ontwikkelen. Dat geldt bijvoorbeeld voor grote gebruikers zoals internet service providers.
"Maar de meeste gebruikers van BIND hebben het pakket geïnstalleerd samen met hun besturingssysteem. Distributeurs van Linux-varianten zoals Red Hat, Debian en Ubuntu sturen klanten periodiek updates. Daar horen ook updates bij voor meegeleverde opensource software, zoals BIND."
Nonchalant patchbeleid
Dat slechts de helft van de DNS-servers ter wereld gepatcht is, komt waarschijnlijk door het nonchalante patchbeleid van de meeste bedrijven. Pieter de Boer, security consultant bij Madison Gurkha, zei hierover eerder tegen Computable dat er ‘een paar maanden overheen kan gaan' voordat patches binnen een bedrijf daadwerkelijk worden doorgevoerd."
De netwerkbeheerder van VNU Media hoeft zich dus niet te schamen. De uitgever heeft relatief snel de patches voor de Windows DNS-server geïnstalleerd.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan dat vrij makkelijk doen. Op de website van beveiligingsonderzoeker Dan Kaminsky is via één druk op de knop te achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kun je elders uitvoeren. Bert Hubert, ontwikkelaar van Power DNS: "Elke werknemer zou op die link moeten klikken. Wanneer de DNS-server van zijn bedrijf niet gepatcht is, moet hij de systeembeheerder bestoken."
Mail afvangen
Het DNS-protocol is één van de fundamenten van het internet en wordt gebruikt om het ip-adres te achterhalen waarnaar een mailadres of domeinnaam verwijst. Het door beveiligingsonderzoeker Dan Kaminsky ontdekte beveiligingslek maakt het voor kwaadwillenden mogelijk om mailberichten af te vangen en om internetgebruikers naar nepsites te sturen. Dat opent allerlei mogelijkheden voor criminelen, zoals het optuigen van een look-a-like internetbankiersite. Met zo'n nepsite kunnen dieven inlognamen, wachtwoorden en beveiligingscodes afvangen en ondertussen de bankrekening op de echte site plunderen.
Allemaal heel erg, maar mij blijft onduidelijk hoe e.e.a. in het werk gaat.
Het lijkt me dat je toch op een of andere manier bij mijn dns-server moet kunnen komen om je vulnerability uit te kunnen voeren.
– Doe je dat met een bijlage in een mailtje ? (vangt mijn dure virusscanner dat niet af ?)
– Open ik twijfelachtige websites ?
– Werkt mijn phishing-filter niet meer ?
Of lukt het alleen als iemand op de lijn meeluistert naar mijn internetverkeer ?
Kortom hoe loop ik risico ?
Als ik dat weet kan ik zelf de grootte van het risico inschatten in plaats van af te moeten gaan op alle dreigende berichten.
Gerard