Nederlandse DNS-servers zijn minder vaak gepatcht tegen het Kaminskylek dan buitenlandse DNS-servers. Dat beweert InfoBlox. De SIDN, de organisatie die het .nl-domein beheert, vindt dat de netwerkleverancier een te negatief beeld geeft van het aantal gepatchte servers in Nederland.
Negenvijftig procent van de recursieve DNS-servers in Nederland zijn niet gepatcht tegen de Kaminsky-kwetsbaarheid. Dat percentage is hoger dan in de rest van de wereld. Daar is vierenveertig procent van de kwetsbare DNS-servers niet gepatcht.
Dat zegt InfoBlox, op basis van onderzoek dat de netwerkleverancier liet verrichten door de Measurement Factory. De SIDN, de organisatie die het .nl-domein beheert, herkent de cijfers niet. Antoin Verschuren, technisch adviseur bij SIDN: Volgens onze metingen uit augustus is meer dan 66% van de recursieve nameservers uit Nederland wel gepatcht."
Steekproef is relatief laag
Verschuren van SIDN vermoedt dat de onderzoeksresultaten van de Measurement Factory een te negatief beeld geven van het aantal gepatchte servers in Nederland, omdat het onderzoek volgens hem op een relatief kleine steekproef gebaseerd is. De steekproef die de SIDN deze zomer nam is veel groter: "In plaats van op 212 servers zijn onze cijfers gebaseerd op onderzoek onder enkele duizenden servers."
De Measurement Factory onderzocht in opdracht van InfoBlox 600.000 DNS-servers, waarvan 768 uit Nederland. Van deze Nederlandse servers waren er 212 caching DNS-servers en daardoor in principe vatbaar voor het lek. Hiervan was negenvijftig procent volgens de Measurment Factory niet gepatcht tegen de Kaminsky-kwetsbaarheid.
Caching DNS-servers
Er zijn twee soorten DNS-servers: authoritative en recursive nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving' of ‘caching' name server genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
De Kaminsky-kwetsbaarheid maakt het voor kwaadwillenden mogelijk het internetverkeer over te nemen dat loopt via een gehackte DNS-server. Daardoor kan zo'n kwaadwillende bijvoorbeeld mail afvangen en websitebezoekers omleiden naar nepsites.
