Patchen DNS-lek is niet voldoende

Nu details zijn uitgelekt van het ernstige DNS-lek dat begin juli bekend werd, is de noodzaak om te patchen flink verhoogd. Het simpel installeren van de patch is niet voldoende. Firewalls kunnen roet in het eten gooien. Daarnaast zijn ook mobiele telefoons, Blackberry’s en sommige printers kwetsbaar.

Bert Hubert, ontwikkelaar van Power DNS, een DNS-server die door veel providers gebruikt wordt en al sinds 2006 beveiligd is tegen het DNS-lek dat nu door Dan Kaminsky wereldkundig is gemaakt: "Normaal is het zo: je installeert de patch en het is orde, maar er zijn twee redenen waarom dat nu moeilijker ligt. De eerste reden is dat sommige firewalls zo zijn geconfigureerd dat ze de afzenderpoort van een UDP-pakket voorspelbaar maken (DNS maakt gebruik van het UDP-protocol, een basisprotocol van het internet), terwijl die net door de patch willekeurig wordt gemaakt (en een waarde aanneemt tussen één en ongeveer 64.000). Die firewalls moeten dus bijgewerkt worden."

Uitroeien kakkerlakken

"Daarnaast zitten DNS-servers in de gekste dingen verstopt. Patchen is in dit geval vergelijkbaar met het uitroeien van kakkerlakken. Een voorbeeld: drie dagen geleden ontdekte een grote provider dat de DNS-servers van hun belangrijkste klanten weliswaar gepatcht waren, maar dat ze de huurlijnen die ze hadden overgenomen van een andere provider vergeten waren. DNS-servers functioneren doorgaans jarenlang probleemloos. Daardoor zijn netwerkbeheerders geneigd ze uit het oog te verliezen. Dat maakt dat het mogelijk is dat een oude, vergeten server in een hoekje van je bedrijf het meeste internetverkeer kan afhandelen."

"DNS-servers zijn niet alleen geïnstalleerd binnen servers en routers, maar ook op sommige printers (wanneer die bijvoorbeeld in staat zijn om ingescande documenten te mailen). De kans dat de printermonteur met een cd-tje langs is geweest, is klein. Bovendien: de Windows-patch die door Microsoft is verspreid, beveiligt de ‘stub resolver', een mini name server die op pc's is geïnstalleerd. Maar mobiele telefoons en Blackberry's, waarmee je ook kunt mailen, zijn nog steeds kwetsbaar."

Leveranciers stellen patch beschikbaar

Pieter de Boer, security consultant bij Madison Gurkha: "Ict managers moeten de DNS-infrastructuur binnen hun bedrijf grondig in kaart brengen met hulp van systeem- en netwerkbeheerders. Binnen alle DNS- servers moeten patches worden geïnstalleerd. Die worden door vrijwel alle leveranciers beschikbaar gesteld, zoals Cisco, Microsoft en ISC, de non-profit organisatie waarbinnen BIND wordt ontwikkeld' (BIND is de meest gebruikte open source DNS-server). Daarnaast mogen DNS-resolvers niet van buitenaf benaderbaar zijn. Die stelregel geldt nu ook al als één van de best practices voor het beheer van DNS-servers."

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Hubert: "Elke werknemer zou op die link moeten klikken. Wanneer de DNS-server van zijn bedrijf niet gepatcht is, moet hij de systeembeheerder bestoken."

Identificatienummer is te raden

Kaminsky heeft ontdekt dat het nog veel eenvoudiger is om DNS-servers te vervuilen met foutieve ip-adressen dan beveiligingsonderzoekers tot nu toe dachten. Dat is gevaarlijk, omdat kwaadwillenden op die manier mailberichten kunnen afvangen en websitebezoekers kunnen omleiden naar nepsites. De DNS-servers die vatbaar zijn voor het probleem dat Kaminsky signaleerde, zijn resolving name servers. Dat zijn DNS-servers die niet op de hoogte zijn van alle domeinnamen op het hele internet, en daarom vertaalverzoeken sturen aan een ‘autoritieve' DNS-server. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het verzoek wordt verstuurd in de vorm van een ip-pakketje. Dit pakketje reist beveiligd om vervalsing te voorkomen. De beveiliging bestaat uit een willekeurig identificatienummer als controlecode.

Er zijn 65.000 mogelijke identificatienummers. Critici beweerden al langere tijd dat dat aantal te laag is. Het zou relatief gemakkelijk zijn om het juiste identificatienummer te raden door een DNS server te bombarderen met zoveel mogelijk ip-pakketjes, allemaal met verschillende identificatienummers. De Boer: "Na 32.000 pogingen heb je al een kans van vijftig procent dat je het juiste nummer te pakken hebt." Maar nu blijkt dat de situatie nog een tikje erger is: volgens Kaminsky kun je via logisch nadenken sneller dan via brute kracht de identificatienummers van verstuurde vertaalverzoeken raden.

DNS-lek uitgelekt

Een Amerikaans beveiligingsbedrijf, Matasano Security, heeft maandagmiddag korte tijd een beschrijving van het ernstige DNS-lek, dat Dan Kaminsky begin juli bekend maakte, in een blog online gezet. De blog is inmiddels verwijderd, maar het kwaad is geschied. Op andere blogs is inmiddels een beschrijving van de precieze aard van het DSN-lek terug te vinden. Om beveiligingsredenen wilde Dan Kaminsky deze details pas bekend maken op 6 augustus, tijdens de Black Hat beveiligingsconferentie in Las Vegas. Kaminsky meldt sinds maandag op zijn weblog: "Patch. Vandaag. Nu."

Patch

De nu verpreide patch wijzigt de name server zodanig dat deze UDP-pakketten verstuurt met een willekeurige afzenderpoort in plaats van een vaste (DNS maakt gebruik van het UDP-protocol, een basisprotocol van het internet). De Boer: "Het afzenderpoort-veld bestaat uit 16 bits. Dat zijn 65535 mogelijkheden. Een deel van de poortnummers is echter al gereserveerd, maar er blijven nog een dikke 64.000 nummers over."