Dankzij DNSsec zullen de applicaties waarvan we al die tijd hebben gedaan of ze veilig zijn, eindelijk werken. Dat zegt Dan Kaminsky, de jonge beveiligingsonderzoeker die begin 2008 op een essentiële zwakte stuitte in het Domain Name System (DNS). 'Als mijn moeder een mail ontvangt van de bank, dan moet ze zeker kunnen weten dat die ook echt van de bank komt.'
'Toen ik op de cache poisoning bug in DNS stuitte, heb ik samen met DNS-autoriteit Paul Vixie de hele DNS-gemeenschap bijeen geroepen. We kwamen bij elkaar in een vergaderzaal van Microsoft. Ik zei: we zitten in de problemen. Niet door onze eigen schuld, maar vanwege een bug die vanaf 1983 in DNS zit. We moeten er iets aan doen. [De kwetsbaarheid die die Kaminsky had ontdekt, kon namelijk door criminelen misbruikt worden om mails af te vangen en websites te kapen – redactie]
Geloofden ze je meteen?
De demonstratie-aanval was aardig overtuigend. Een aantal mensen zei toen: waarom gebruiken we DNSsec niet om het probleem op te lossen? [DNSsec is een toevoeging op het DNS-protocol, waarmee providers kunnen controleren of ze gegevens van domeinnaamservers kunnen vertrouwen – redactie] Ik zei: dat proberen jullie al tien jaar en dat is niet gelukt. Waarom zou het dan wel lukken in de komende zes maanden? Ik was op dat moment absoluut geen fan van DNSsec. Het operationele beheer ervan was een nachtmerrie.'
'Maar toen ik er in september 2008 beter naar keek, besefte ik dat het slechts een tijdelijk kwestie zou zijn. Inmiddels bestaat er een inderdaad een grote verzameling tools waarmee het beheer geautomatiseerd kan worden verzorgd, waaronder mijn eigen tool: Phreebird. En een ander bezwaar dat ik had, is inmiddels ook opgelost: de root is getekend.'
Wat zijn de voordelen van DNSsec?
'Dankzij DNSsec zullen de applicaties waarvan we al die tijd hebben gedaan of ze veilig zijn, eindelijk werken. De belangrijkste daarvan is veilige mail. Als mijn moeder een mail ontvangt van de bank, dan moet ze zeker kunnen weten dat die ook echt van de bank komt. Nu is dat nog niet zo. Waarom niet? Omdat we geen beveiligingssysteem hebben dat over organisatorische grenzen heen werkt. Maar dat is precies wat DNSsec wel is.'
'Stel je een cio voor die zegt: elk virtueel apparaat in mijn organisatie moet cryptografie krijgen binnen de komende maand. Dat is nu onmogelijk, maar DNSsec gaat het mogelijk maken. Daarmee kun je elk apparaat op het bedrijfsnetwerk authenticeren, of je dat nu doet van binnen de bedrijfsmuren of van buitenaf.'
'We weten dat we een probleem hebben met authenticatie. We moeten van wachtwoorden af. In de helft van de beveiligingsincidenten spelen wachtwoorden een rol: gestolen, gedeelde, slechte, zwakke, geen wachtwoorden. Maar de reden dat al die prachtige authenticatietechnologieën zoals smartcards geen succes worden, is omdat ze niet schaalbaar zijn buiten organisatorische grenzen.'
'Organisaties verhuizen steeds activiteiten naar de cloud. Ik heb een klant die per jaar miljarden dollars winst maakt. Ze hebben niet één server, die staan allemaal bij Amazon. Als je daarover nadenkt: we hebben authenticatiesystemen nodig die geen onderscheid maken tussen binnen en buiten een bedrijf. DNSsec doet precies dat.'
Waarom is DNSsec veiliger dan het verstrekken van certificaten?
'Stel je de zorgvuldigste certificatenauthoriteit in de wereld voor. Stel je voor dat die zo paranoïde zijn, dat ze je in persoon komen opzoeken om je DNA af te nemen. Maar het probleem is dat je een zelfde certificaat ook van iemand kunt kopen die jouw identiteit nauwelijks controleert. Voor DNSsec geldt dat niet.'
'De federale regering van de Verenigde Staten heeft een verbazingwekkend omvangrijk certificatensysteem uitgerold. Ze hebben miljarden dollars uitgegeven aan certificaten. Dat is een probleem. Dat is veel te veel geld. DNSsec is zoveel goedkoper. Beveiliging moet goedkoper worden.'
'Niemand op deze conferentie wil het toegeven, maar onveiligheid is het aan het winnen van veilig. En waarom? Onveilig is sneller, onveilig is beter en onveilig is goedkoper. Als we de strijd willen winnen, moeten we beveiliging sneller, beter en goedkoper maken.'
'Onze beveiligingsproblemen verdubbelen elk jaar en staan op dit moment een zakelijk probleem te worden. Van elk beveiligingsincident dat opduikt, zijn er honderd die onbekend blijven. Neem Stuxnet: dat werd bij toeval ontdekt, terwijl het al een jaar in omloop was. Wat zegt dat wel niet over ons detectievermogen? Ik zal niet zeggen dat DNSsec alle beveiligingsproblemen in de wereld oplost, want dat is niet zo, maar het is wel een betere manier om authenticatie tussen organisaties te regelen. En de waarde daarvan is gigantisch.'
Dan Kaminsky
Dan Kaminsky is een beveiligingsonderzoeker en -adviseur. Hij adviseerde onder meer Cisco, Avaya en Microsoft. Kaminsky kreeg grote bekendheid door een essentiële zwakte die hij ontdekte in het Domain Name System (DNS). Momenteel houdt hij zich bezig met het 'ontwikkelen van systemen die de kosten en complexiteit van de beveiliging van kritische infrastructuren moeten terugdringen'.
DNSSEC werkt alleen als iedereen in de keten meedoet. Simpel gesteld: alleen DNSSEC aan de serverkant aanzetten helpt weinig, als je hier aan de client-zijde vervolgens niets mee doet.
Ben je benieuwd of jij, als client, al gebruik kunt maken van DNSSEC? Zie dan: http://dnssectest.sidn.nl/ voor een snelle check.
Zo was ik aardig verrast toen ik op mijn smartphone zag dat mijn mobiele provider T-mobile DNSSEC-validatie gewoon heeft aangezet op haar DNS resolvers. Netjes van ze.