Als beveiligingsonderzoeker Dan Kaminsky in 2005 zijn elleboog niet had gebroken, had hij waarschijnlijk nooit ontdekt dat het Domain Name System (DNS) een ernstig lek vertoont.
De ontdekking van het ernstige DNS-lek dat vorig jaar prominent in het nieuws was, is waarschijnlijk te danken aan een fitnessongelukje. Dat valt te lezen in Wired.
In juni 2005 besloot beveiligingsconsultant Dan Kaminsky iets te doen aan zijn overgewicht. Hij zocht online naar bewegingstips en las dat het calorieverlies van vijf minuten sprinten gelijk staat aan dat van een half uur joggen. Hij aarzelde niet, kocht sportschoenen en trok diezelfde middag nog zijn eerste sprintje, vlak voor de deur van zijn appartement in Seattle. Hij haalde de vijf minuten niet, want al na enkele passen knalde hij op een betonnen richel en brak zijn elleboog. Het gevolg: hij was enkele weken aan huis gekluisterd.
Draadloze netwerk van Starbucks
Onder invloed van pijnstillers lag hij uren in bed, en niet in staat om helder te denken, dacht hij met een glimlach terug aan zijn pogingen om gratis toegang te krijgen tot het draadloze internet van de Amerikaanse koffieketen Starbucks. Die herinnering zette Kaminsky aan het mijmeren over het Domain Name System (DNS) in het algemeen. Hij voelde dat er iets niet klopte, maar kon niet precies de vinger op de zere plek leggen. Sindsdien bleef de kwestie in zijn achterhoofd hangen, totdat hij in januari 2008 opeens doordrong tot de kern van het probleem. De rest is geschiedenis.
Het lek dat Kaminsky ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
Het DNS-lek dat Dan Kaminksy op het spoor kwam, maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Ze kunnen binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites. Ook bijvoorbeeld het File Transfer Protocol (FTP) kan misbruikt worden via het lek, net als het authenticatie- en encryptieprotocol Secure Socket Layer (SSL).
Internetbanken gebruiken SSL om geldtransacties over http te beveiligen (via https). Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken. Volgens Kaminksy vormt Windows Update hierop een uitzondering.
Heet dit niet gewoon ‘The Butterfly Effect’?
Dat soort verbanden leggen is onzin. Dat leerde ik toen ik 12 was, en mijn vriendje er de schuld van kreeg dat zijn vader een ongeluk met de auto kreeg, alleen maar omdat die vader toevallig speciaal voor mijn vriendje onderweg was (iets ophalen van school) ten tijde van de aanrijding.
Kortom, is er een rechtstreeks verband tussen het fitnessongeluk en de vondst van het lek? Nee. Kappen met die flauwekul-van-Story-en-Prive-kwaliteit.
Inderdaad, wat een ‘Story, Weekend en Prive’, kwaliteit!