DNS expert: 'Te lang gewacht met dichten lek'
Gepubliceerd: Donderdag 10 juli 2008
Auteur: Tonie van Ringelestijn
Een ernstig beveiligingslek in DNS-servers dat deze week is gepatcht, was al maanden bekend. Een Nederlandse dns-expert laakt de trage respons.
Grote it-bedrijven als Microsoft en BIND hebben te lang gewacht met het bieden van een oplossing voor een bekend beveiligingslek in DNS-servers, stelt de Nederlandse expert Bert Hubert. DNS is het systeem dat internetters na het intypen van een webadres doorverwijst naar het juiste ip-adres van de bedoelde site.
Volgens Hubert zijn veel zogeheten resolving dns-servers bij internetproviders niet goed beveiligd. Door ze te manipuleren kunnen kwaadwillenden duizenden internetters die een bekend webadres intypen doorsluizen naar een andere site.
Dinsdagavond sloeg Microsoft tijdens zijn traditionele Patch Tuesday alarm over een kwetsbaarheid in DNS-servers bij met name providers. Tegelijkertijd brachten zo'n 20 andere softwareleveranciers stoplappen aan die het probleem moesten verhelpen.
De aanval is met een nieuwe methode binnen seconden uit te voeren, doordat het mechanisme dat een dns-server voor bepaalde tijd koppelingen tussen naamadressen en ip-nummers onthoudt, wordt omzeild.
Bekende dns-software als BIND is voor zo'n aanval gevoelig. De kans bestaat volgens Hubert dat criminelen zelf het DNS-lek ook hebben ontdekt en internetverkeer per provider hebben kunnen doorsluizen naar bijvoorbeeld phishingsites.
Half jaar
"Dit probleem was al zeker een half jaar bij hen bekend, maar er is veel te lang gewacht met het erkennen en het bekendmaken van het probleem en het bieden van een oplossing. Alles wat met DNS te maken heeft ligt kennelijk zo politiek gevoelig dat dit heel lang moet duren", zegt Hubert. Hij is ontwikkelaar van Power DNS, waar volgens hem veertig procent van de Nederlandse domeinen en zo'n 10 procent van de dns-servers van providers op werken.
De details van het lek zijn ondanks de dinsdagavond uitgegeven patch niet bekendgemaakt door Microsoft en de andere bedrijven. Hubert is van de technische details wel op de hoogte. Dat er geheimzinnig over wordt gedaan, vindt hij vreemd, maar toch is de dns-expert blij dat er eindelijk stappen worden ondernomen om dns-servers beter te beveiligen.
"Maar de partijen die dit deze week naar buiten brachten, kunnen nu niet met de eer strijken. Al sinds 1999 is bekend dat nameservers kwetsbaar zijn voor zaken die we nu zien gebeuren. Dit is geen succesverhaal, maar een totale mislukking", schrijft Hubert op zijn weblog.
'DNSSec geen oplossing'
Het DNS-systeem zou grondig op de schop moeten om het veiliger te krijgen, vindt Hubert. Maar op de invoering van DNSSec, een beveiligde variant, zit hij ook niet te wachten. "DNSSec is te complex en zwaar om wereldwijd in te voeren. Het is te storingsgevoelig."
Hubert ijvert al 2,5 jaar voor een internationale technische standaard voor het oplossen van beveiligingsproblemen rond DNS. Over zijn voorstel wordt aanstaand weekend na lange vertraging gestemd binnen de Internet Engineering TaskForce (IETF). "De discussie over dit onderwerp komt eindelijk op gang."
