Managed hosting door True

Kaminsky vond DNS-lek dankzij fitnessongelukje

Dit artikel delen:

Als beveiligingsonderzoeker Dan Kaminsky in 2005 zijn elleboog niet had gebroken, had hij waarschijnlijk nooit ontdekt dat het Domain Name System (DNS) een ernstig lek vertoont.

De ontdekking van het ernstige DNS-lek dat vorig jaar prominent in het nieuws was, is waarschijnlijk te danken aan een fitnessongelukje. Dat valt te lezen in Wired.

In juni 2005 besloot beveiligingsconsultant Dan Kaminsky iets te doen aan zijn overgewicht. Hij zocht online naar bewegingstips en las dat het calorieverlies van vijf minuten sprinten gelijk staat aan dat van een half uur joggen. Hij aarzelde niet, kocht sportschoenen en trok diezelfde middag nog zijn eerste sprintje, vlak voor de deur van zijn appartement in Seattle. Hij haalde de vijf minuten niet, want al na enkele passen knalde hij op een betonnen richel en brak zijn elleboog. Het gevolg: hij was enkele weken aan huis gekluisterd.

Draadloze netwerk van Starbucks

Onder invloed van pijnstillers lag hij uren in bed, en niet in staat om helder te denken, dacht hij met een glimlach terug aan zijn pogingen om gratis toegang te krijgen tot het draadloze internet van de Amerikaanse koffieketen Starbucks. Die herinnering zette Kaminsky aan het mijmeren over het Domain Name System (DNS) in het algemeen. Hij voelde dat er iets niet klopte, maar kon niet precies de vinger op de zere plek leggen. Sindsdien bleef de kwestie in zijn achterhoofd hangen, totdat hij in januari 2008 opeens doordrong tot de kern van het probleem. De rest is geschiedenis.

Het lek dat Kaminsky ontdekte

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.

Het DNS-lek dat Dan Kaminksy op het spoor kwam, maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Ze kunnen binnen 0,7 seconden na de start van een ‘brute force' aanval de macht te grijpen over een (ongepatchte) name server en de cache vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites. Ook bijvoorbeeld het File Transfer Protocol (FTP) kan misbruikt worden via het lek, net als het authenticatie- en encryptieprotocol Secure Socket Layer (SSL).

Internetbanken gebruiken SSL om geldtransacties over http te beveiligen (via https). Ook automatische software updatediensten kunnen na de overname van een name server worden misbruikt voor het installeren van malware binnen bedrijfsnetwerken. Volgens Kaminksy vormt Windows Update hierop een uitzondering.

Dit artikel delen:

Windows 7 biedt betere DNS-beveiliging

Organisaties verwaarlozen DNS-infrastructuur

Getronics ontkent gestuntel met DNS-patch

Tsjechië stapt over op beveiligd DNS-protocol

SIDN: vanaf 2009 overstap naar DNSsec

VS verplicht DNSSEC voor overheid

Firefox beschermt tegen DNS-gat

Getronics: niets mis met Amsterdamse DNS

Aantal DNS-aanvallen neemt toe

'Getronics incompetent bij DNS-patch Amsterdam'

Mailservers nog kwetsbaar voor DNS-lek

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen

Nederlander vond als eerste details DNS-lek

DNS-lek maakt internetbankieren onveilig

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken

Apple-patch voor DNS-lek deugt niet

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

DNSsec wordt wereldwijd meest gebruikt bij .NL

SURFnet ondersteunt veilig internetprotocol

Internet krijgt beveiligd DNS-protocol

.com-domein krijgt beveiligd DNS-protocol


Reacties

Heet dit niet gewoon 'The Butterfly Effect'?

Dat soort verbanden leggen is onzin. Dat leerde ik toen ik 12 was, en mijn vriendje er de schuld van kreeg dat zijn vader een ongeluk met de auto kreeg, alleen maar omdat die vader toevallig speciaal voor mijn vriendje onderweg was (iets ophalen van school) ten tijde van de aanrijding.
Kortom, is er een rechtstreeks verband tussen het fitnessongeluk en de vondst van het lek? Nee. Kappen met die flauwekul-van-Story-en-Prive-kwaliteit.

Inderdaad, wat een 'Story, Weekend en Prive', kwaliteit!

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.