Wanneer datadieven zich eenmaal toegang hebben verschaft tot een bedrijfsnetwerk, nemen ze vaak weken tot maanden de tijd om data te ontvreemden uit een organisatie. Ze wachten op het beste moment voor een diefstal, of stelen kleine beetjes data over langere tijd. Eén van de minst opgemerkte wegsluistechnieken is om de buit te verbergen in uitgaand DNS-verkeer. Dat wordt namelijk niet of nauwelijks gecontroleerd. Dat meldt onderzoeksorganisatie Hostexploit als inleiding op zijn vierjaarlijkse top 50 van hostingpartijen die de meeste malwareservers huisvesten. Op nummer twee van deze lijst prijkt overigens met stip een Nederlandse hostingpartij: Ecatel.
'De meest geniepige methode om data te stelen verloopt via het domain name system (DNS)', schrijft onderzoeker Jart Armin in het rapport. Het DNS is de naam van het systeem en netwerkprotocol waarmee websitenamen vertaald worden naar numerieke adressen (IP-adressen) en omgekeerd. Deze namen en nummers staan in DNS-tabellen, waaruit via 'queries' informatie kan worden opgehaald.
'Deze methode kan zelfs gebruikt worden op systemen zonder een publieke netwerkverbinding, door toegang tot domeinnamen aan te vragen buiten de kring van vetrouwde hosts, via een serie interne en externe nameservers', schrijft Armin. 'Terwijl van veel serveroperaties logbestanden worden bijgehouden, wordt de databaseserver vaak over het hoofd gezien. Meer dan welk ander type verzoek, worden uitgaande DNS-verzoeken toegang toegestaan tot willekeurige hosts op het internet. Zelfs wanneer firewalls zijn geconfigureerd om te voorkomen dat databaseservers gegevens rechtsteeks aan het internet verzenden, kunnen hackers DNS-verzoeken vanaf een interne DNS-server verzenden met behulp van SQL-injectie.'
Truc
'Hier wordt het fenomeen 'datadiefstal' beschreven, oftewel het binnendringen bij een systeem en het vervolgens ontfutselen van gegevens', legt technisch adviseur Marco Davids van SIDN uit. 'Eén van de meest geniepige methodes om dat te doen, volgens het rapport, is met behulp van DNS-queries. In de DNS-vraag zit dan de data verscholen die de hacker wil stelen. Deze DNS-vraag komt via via uit bij een nameserver waar de hacker controle over heeft, zodat hij uiteindelijk die data kan uitlezen. Het is dus in feite een truc om data van binnen naar buiten te krijgen.'
Firewalls
Dit soort aanvallen wordt vaak niet opgemerkt, aldus Hostexploit. 'Volgens het rapport worden DNS-queries vaak nog wel doorgelaten, zelfs bij streng beveiligde omgevingen waar alles op de firewall is dichtgezet', zegt Davids. 'De kunst is om de juiste DNS-queries te laten uitvoeren. Dat kan, volgens het rapport, onder meer door op de juiste manier aan 'SQL-injection' te doen. SQL is de 'taal' waarmee je databases aanspreekt. Die database zit in dit geval achter een webapplicatie die slecht is beveiligd en bevat de gezochte data. De hacker kan via tekortkomingen in de webapplicatie ervoor zorgen dat er een 'SQL-databasequery' wordt geforceerd. En als die query maar slim genoeg in elkaar is gefabriekt, zal die een DNS-query tot gevolg hebben met daarin de te stelen data. Die DNS-query gaat naar de lokale resolver, die hem het internet opstuurt, naar de hacker. Volgens het rapport is dit een goede methode om onder de radar te blijven, omdat webserver logs vaak goed in de gaten gehouden worden, maar databases en DNS-verkeer veel minder.'
DNSsec
Ook DNSsec biedt in dit geval geen bescherming, aldus Davids. Het protocol maakt het weliswaar mogelijk om domeinnamen te 'ondertekenen' met een cryptografische sleutel, maar dat helpt niet in dit geval. 'DNSsec gaat hier niet tegen beschermen omdat er feitelijk helemaal geen sprake is van een DNS vraag- en antwoordspel, waarbij het antwoord moet kloppen. Validatie is niet aan de orde. Feitelijk wordt het DNS alleen misbruikt als een manier om via goed beveiligde firewalls vertrouwelijke data naar buiten te smokkelen. Zelfs met prima werkende validatie zouden die DNS-queries nog altijd kunnen worden misbruikt voor het stelen van geheime informatie.'
Ecatel
Op nummer twee van Hostexploits vierjaarlijkse top 50 van hostingpartijen met de meeste malwareservers prijkt een Nederlandse hostingpartij: Ecatel. Vooral het aantal geïnfecteerde websites van deze provider ligt volgens Hostexploit relatief hoog.
