Via een gerichte aanval kunnen mailberichten in veel gevallen nog steeds worden afgevangen. Juist de extra beveiliging van mailservers gooit vaak roet in het eten. Firewalls maken namelijk het willekeurige poortgebruik van de DNS-patch ongedaan.
Veel mailservers in Nederland zijn nog niet gepatcht tegen het ernstige DNS-lek dat beveiligingsonderzoeker Dan Kaminsky begin juli wereldkundig maakte. Dat zegt SIDN, de organisatie die het .nl-domein beheert. Antoin Verschuren, technisch adviseur bij SIDN: "Hoewel de grote internetproviders hun DNS-servers nu vrijwel allemaal gepatcht hebben, zien we dat mailservers dat vaak nog niet zijn."
"We weten niet of het daarbij om mailservers van providers gaat of van bedrijven." SIDN kan niet zeggen om welk percentage van de Nederlandse mailservers het gaat. Verschuren: "We weten alleen dat we veel namen van mailservers tegenkomen in onze lijst van ongepatchte servers."
Mailservers over hoofd gezien
Volgens Verschuren zijn er verschillende redenen waarom juist mailservers minder vaak gepatcht zijn: "Beheerders hebben zich in eerste instantie gericht op het patchen van machines die als officiële dedicated nameserver bekend staan. Vaak zijn zij ‘vergeten' dat er op de mailservers ook nog nameserversoftware staat."
"Beheerders van kleinere bedrijfsnetwerken hebben vaker wat minder kennis van DNS. Of ze weten gewoon niet dat er op hun mailserver ook een nameserverproces draait. Bovendien zijn er binnen een netwerk meestal meer mailservers dan nameservers aanwezig. De nameservers doen de meeste queries, dus die worden als eerste gepatched, de mailservers pas later."
Firewall gooit roet in eten
Een ander probleem is dat mailservers vaak draaien achter een firewall of router met strikte poortcontrole, die het effect van de patch ongedaan maakt. De patch tegen het Kaminsky-lek zorgt er namelijk voor dat de afzenderpoort van een vertaalverzoek een willekeurig getal krijgt (64000 mogelijkheden). Wanneer de firewall die keuze voor een willekeurige (random) poort ongedaan maakt, is het patchen voor niets geweest.
Verschuren: "Vaak zijn mailservers wat beter beveiligd omdat er vertrouwelijke informatie op staat, of de beheerders willen ze beter beschermen tegen misbruik door spammers. Het is daardoor complexer om te zorgen dat die beveiliging wordt aangepast naar aanleiding van het DNS-lek." Adviezen om met deze situatie om te gaan, zijn te vinden in dit document van overheidsorganisatie Govcert.
Kleinere bedrijfsnetwerken
Daarnaast zijn kleinere bedrijfsnetwerken en thuisnetwerken volgens Verschuren meestal nog ongepatcht. SIDN ziet veel DSL-aansluitingen in de lijst van ongepatchte servers. Verschuren: "Binnen kleine bedrijfsnetwerken wordt het DNS-verkeer meestal door heel goedkope routertjes verzorgd. Die kunnen vaak niet eens gepatcht worden."
"Die gebruikers moeten dus eigenlijk een nieuwe router aanschaffen. Meestal zijn zij zich echter van geen gevaar bewust. Ik denk overigens niet dat criminelen dergelijke kleine gebruikers als doelwit kiezen, omdat er relatief weinig te halen valt."
Meer veilige queries
Het aantal gepatchte DNS-servers is nauwelijks toegenomen: ongeveer eenderde van de DNS-servers in Nederland is niet gepatcht. Verschuren: "Toch is het aantal onveilige queries gedaald van achttien naar veertien procent. Dat komt doordat een aantal grote DNS-servers inmiddels gepatcht is."
Bovendien klinkt het percentage van veertien procent volgens Verschuren ernstiger dan het is: "We houden iets minder dan vijf procent over aan kwetsbare queries als we de adressen filteren. Dus het buiten beschouwing laten van nameservers waarvan we op basis van patronen vermoeden dat ze gebruikt worden voor onderzoek of monitoring van domeinnamen."
Het lek dat Kaminksy ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Ze kunnen binnen 0,7 seconden na de start van een ‘brute force' aanval de macht grijpen over een (ongepatchte) name server en de cache daarvan vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites.
Ook bijvoorbeeld het File Transfer Protocol (FTP) valt te onderscheppen via het lek, net als het authenticatie- en encryptieprotocol Secure Socket Layer (SSL). Internetbanken gebruiken SSL voor het beveiligen van geldtransacties die via http lopen (https). Ook automatische software updatediensten zijn na de overname van een name server te misbruiken. Bijvoorbeeld om malware binnen bedrijfsnetwerken te krijgen. Volgens Kaminksy vormt Windows Update hierop een uitzondering.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder.
“goedkope routertjes” zoals de wrt54gL van linksys die ergens tussen de 46 en 60 euro kost.
Deze kan voorzien worden van nieuwe opensource firmware zoals dd-wrt en daar is al een poos de firmware van uitgebracht die de dns exploit oplost
http://www.dd-wrt.com/dd-wrtv3/community/developmentnews/1-common/24-dd-wrtv24sp1.html
Ben erg benieuwd welke andere commerciele firmware al zo snel was aangepast.
Als er een “chinese muur” bij de email servers tussen het “source informatie domein” en het “encrypted informatie domein” gezet wordt dan kan dit DNS-lek niet gebruikt worden om de security en/of privacy van de zender(s)/ontvanger(s) aan te tasten. Dit komt omdat bij een strikte scheiding van deze domeinen zowel de security als privacy in het “source informatie domein” vallen. Een gerichte attack is alleen op groepsniveau mogelijk omdat de mail servers in het “encrypted informatie domein” zitten en eventuele attackers dus geen informatie hebben over de identiteit van de zender(s)/ontvangers en de inhoud van de mail. Als deze groep erg groot is (bijvoorbeeld een multi-nationale telecom operator), dan is zo’n attack onmogelijk zonder extreem zware consequenties voor de attackers. Bovendien zal zo’n attack direct opgemerkt en opgelost worden, omdat dan een gehele groep tegelijk aangevallen wordt. De worst-case attack is dus dat het verkeer van de gehele groep een korte tijd geblokkerd zal worden. De security en privacy zal bij een worst-case attack niet aangetast worden.