Het huidige DNS-lek is een serieuze bedreiging, erger dan eerder gevonden DNS-zwakheden. Het ondermijnt het vertrouwen in het internet. Toch nemen niet alle netwerkbeheerders het lek serieus genoeg. Dat zeggen Computable’s security-experts.
Volgens een aantal Computable-experts is de ernst van het DNS-lek dat beveiligingsonderzoeker Dan Kaminsky ontdekte nog onvoldoende doorgedrongen. Lex Borger, Principal Consultant bij Logica: "Het is een serieuze bedreiging, erger dan eerder gevonden DNS-zwakheden. Met de huidige patchronde is het trouwens nog niet geheel aangepakt, er zullen meer acties nodig zijn. Dit wordt dus nog vervolgd. Nog niet alle netwerkbeheerders en beveiligers nemen dit serieus. Dat komt waarschijnlijk omdat het best om complexe materie gaat, die niet iedereen zomaar doorziet."
DNS is overal
Veel meer internettoepassingen dan vaak gedacht maken gebruik van DNS. Leo Willems, Internet Security en Opleidingen: "Er is allerlei software in omloop die DNS-bibliotheken gebruiken en die niet gepatched gaat worden, omdat er geen patch voor is of omdat niet eens bekend is dat die software DNS gebruikt (proxies en embedded systemen bijvoorbeeld). Dus het credo patch NU is tegelijktijd zinvol en zinloos."
Eelco van Beek, Managing Director van IC&S Group: "DNS heeft een grondslag in vrijwel elke dienst op het internet. Risico's in DNS zijn daardoor in feite dus risico's op alle lagen."
Dat maakt het huidige lek erg gevaarlijk, vind ook Marco Barkmeijer van SecureLink Nederland: "Het recente DNS lek wordt door velen terecht gezien als de grootste cyber-bedreiging van de laatste 10 jaar. In tegenstelling tot aanvallen zoals het "I Love You" virus dat heel zichtbaar en tastbaar was, is de DNS cache poisoning aanval onzichtbaar en heel moeilijk te detecteren. De aangerichte schade wordt pas dagen, weken of zelfs maanden nadien zichtbaar in de vorm van illegale transacties met gestolen identiteitsgegevens of door misbruik van gevoelige informatie onderschept in mailverkeer. Dit soort van DNS lekken bedreigen het vertrouwen in het Internet. Het ondermijnt en vertraagt het gebruik van fundamentele Internettoepassingen zoals eCommerce, eBanking, messaging, etc."
Hoeksteen internet mank
Op een bijeenkomst van de Internet Engineering Task Force (IETF) in Dublin werd eind juli besloten voorlopig geen nieuwe patches uit te brengen voor het ernstige DNS-lek waarmee het mogelijk is websites te ‘kapen' en mailberichten af te vangen. Olaf Kolkman, directeur van NLnet Labs schreef hierover eerder in een opinieartikel: "Er is door de DNS-werkgroep van de IETF besloten om de voorgestelde lapmiddelen eerst goed te onderzoeken op hun complexiteit en effectiviteit. Er wordt dus wel degelijk iets gedaan binnen de IETF: maar voordat grootschalige en wereldwijde oplossingen worden gerealiseerd, wordt er eerst goed nagedacht."
Toch vindt een deel van de beveiligingsexperts dat er meer moet gebeuren. Petros Mylonopoulos van Ermis ICT Diensten & Producten: "Het is belachelijk dat IETF niets wil doen aan het protocol. Een van de hoekstenen van internet is mank en dat moet worden opgelost. Dat dat tijd en geld gaat kosten is een feit, maar wat kost het wanneer hele TLD's worden voorzien van valse DNS-gegevens? Niet alleen qua gemiste inkomsten voor bedrijven maar vooral voor particulieren die ervanuitgaan dat ze ook op de website zitten die ze willen hebben om hun bankrekening in te zien."
DNSSEC moet uitgerold
Van Beek vindt dat softwareleveranciers pro-actiever moeten zijn in het stimuleren van de vernieuwing van het DNS-protocol: "Een structurele oplossing zou vanuit de softwareleveranciers moeten komen. Zolang deze leveranciers aan zowel de server als de client kant oude standaarden en versies blijven ondersteunen (vaak als default) ontstaat er nergens initiatief (of überhaupt een mogelijkheid, aangezien er incompatibiliteit ontstaat) om dergelijke problemen op te lossen. Grote softwareleveranciers zouden de handen ineen moeten slaan om structurele verbeteringen in oude standaarden door te voeren (in eerste instantie DNS, SMTP). Alleen op die manier ontstaat er voldoende momentum om verandering te realiseren. Dit is geen beheer- of security probleem (het gevolg vervelend genoeg wel), maar achterstallig onderhoud."
Esschendal gaat nog verder. Hij vindt dat er handhaving moet plaatsvinden op het internet: "Ik zou willen voorstellen dat de internetknooppunten overal ter wereld richtlijnen opstellen waaraan aangesloten partijen moeten voldoen. Een veilig en actueel netwerk moet een voorwaarde worden om te mogen aansluiten. Als een bedrijf dat niet heeft, kan het worden gesanctioneerd, tot aan afsluiting toe als ultieme maatregel."
Willems pleit voor het invoeren van het beveiligde DNSSEC-protocol: "Het is niet gemakkelijk om Secure DNS snel uit te rollen, maar als SIDN en grote spelers als Surfnet en ISP's zich hier sterk voor maken, kan Secure DNS snel een feit zijn met als effect: zwaan kleef aan."
Patch nu
Een deel van de beveiligingsexperts vindt het verstandig dat de DNS-werkgroep van de IETF afwachtend is in het uitbrengen van nieuwe patches. Ton van den Berg, ICT Architect bij Kender Thijssen: "Internet is nooit bedoeld als een zwaar beveiligd netwerk, maar als een net voor gegevensuitwisseling tussen mensen die weten wat ze doen. Echter we leven in het nu. De wereld wordt er niet beter van als we alleen maar bezig zijn lekken of lekjes te dichten in systemen die al zo lang draaien. De IETF heeft een verstandig besluit genomen."
Dimitri Tzoumas van Ermis ICT Diensten & Producten is teleurgesteld over de kwaliteit van de huidige patch, al is hij blij dat deze bestaat: "In 0,7 seconden of in 24 uur is een significant verschil, het patchen van de servers is dus niet geheel voor niets geweest. De manier waarop de patch is getest is wel discutabel en laat zien dat het delen van de informatie met een select gezelschap een slecht geteste patch tot leven heeft gebracht, maar het is er wel een die ons de tijd geeft na te denken hoe het nu wel moet."
Ook Esschendal geeft aan dat een patch beter is dan geen patch "Ook als een patch niet de hele oplossing biedt is er geen reden om deze niet te installeren."
