SSL vormt geen vangnet tegen ‘het ergste internetbeveiligingsrisico sinds 1997’. Het 'Kaminskylek' biedt meer mogelijkheden tot misbruik dan mail afvangen en websitebezoekers omleiden naar nepsites. FTP, SSL en automatische softwareupdates zijn evenmin veilig voor hackers die eenmaal een nameserver gekaapt hebben.
Tijdens de langverwachte presentatie van Dan Kaminksy op beveiligingsconferentie Black Hat noemde de beveiligingsonderzoeker het door hem ontdekte lek in DNS ‘het ergste internetbeveilgingsrisico sinds 1997'.
Het lek maakt het voor kwaadwillenden mogelijk om binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache te vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites, zo maakte Kaminsky tijdens zijn presentiatie duidelijk.
Automatische update vatbaar – maar Windows niet
Zo zijn volgens Kaminsky bijvoorbeeld ook het File Transfer Protocol (FTP) via het Kaminskylek te misbruiken. Ook het authenticatie- en encryptieprotocol Secure Socket Layer (SSL) is vatbaar. Internetbanken gebruiken SSL om geldtranssacties over http te beveiligen (via https). Het protocol werd tot nu toe door veel beveiligingsdeskundigen gezien als een vangnet voor het DNS-lek.
Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken. Volgens Kaminksy vormt Windows Update hierop overigens een uitzondering.
Hij benadrukte echter dat het een misverstand is om te denken dat een bedrijf met een DNS-server die geen verzoeken van buitenaf afhandelt, veilig zou zijn.
Domino-effect
Kaminsky sprak van een ‘domino-effect'."Er zijn honderdduizenden verschillende paden die naar de ondergang leiden. Ik heb de tijd gehad om naar vier of vijf dominostenen te kijken. Het wordt alleen maar erger."
Goed nieuws was er ook. Volgens Kaminsky is tussen de zestig á zeventig procent van de DNS-servers wereldwijd inmiddels gepatcht. Twee weken geleden lag dat percentage nog op zo'n vijftig procent.
Het lek dat Kaminksy ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.
De oplossing voor de thuis pc-gebruiker is erg eenvoudig. In de regel bezoekt de thuisgebruiker een paar vaste en risicovolle sites. Denk aan sites voor aankoop goederen en banken voor telebankieren. Het voldoet hier deze sites af te schermen. Dit kan door de betreffende ip-addressen en hun vertaling in het HOSTS bestand op te nemen. In Windows aangeven dat HOSTS een hogere prioriteit krijgt dan de DNS vertaling. Controleer of de schrijfrechten op HOSTS ontbreekt voor de groep Users en Power Users. Wie dan, zoals ik, altijd onder een Restricted User Account werkt kan zorgeloos surfen en met gerust hart telebankieren. Het verdient aanbeveling belangrijke ip-addressen altijd op de pc te vertalen en niet buiten het zicht waardoor een dergelijk risico ontstaat.
Het hele SSL-verhaal is mij even onduidelijk.
SSL waarborgt de logische verbinding met de server. Op het moment dat je omgerouteerd wordt kom je op een server uit waar geen geldig SSL-certificaat op geinstalleerd is.
De doorsnee crimineel voelt er immers weinig voor om eerst met de billen bloot te gaan om een SSL-certificaat te krijgen voor een domein dat hij/zij niet bezit.
Dus als je omgeleid wordt, zal je een foutmelding/waarschuwing krijgen dat er iets mis is met het certificaat. Wat er dan verder gebeurt is aan de gebruiker, maar dat is niet anders dan normaal.
Dus waar kan ik info vinden over hoe het SSL-vangnet dan automatisch omzeild wordt?