Eerste exploits voor kritisch DNS-lek openbaar
Gepubliceerd: Donderdag 24 juli 2008
Auteur: Andreas Udo de Haes
Twee dagen nadat details over een ernstig kwetsbaarheid in het dns-protocol uitlekten, hebben hackers de eerste aanvalscodes gepubliceerd.
De exploits en uitleg zijn geschreven door HD Moore, de man achter Metasploit, een gereedschapskist voor hackers en 'I)ruid' van de Computer Academic Underground. Met de code is het in principe mogelijk een succesvolle hack uit te voeren op één of meerdere van de miljoenen dns servers.
Dns-cache kaping
Het dns systeem is een soort gedecentraliseerd digitaal telefoonboek van het internet die uitzoekt welke domeinnaam of url overeenkomt met welk ip-adres en omgekeerd.
In het dns protocol blijkt echter een cruciale zwakte te zitten, waardoor deze vertaalslag van letters naar cijfers kan worden gekaapt en het verkeer kan worden omgeleid naar een kwaadaardige website zonder dat een internetter iets doorheeft.
Een dns server kan worden overgenomen omdat de willekeurigheid (randomization) die zit ingebakken in de dns-aanvragen veel te beperkt is. Via het geautomatiseerd aanvragen van willekeurige subdomeinen kan een hacker al binnen enkele honderden of duizenden pogingen beet hebben. Dit proces duurt slechts enkele seconden en geeft de aanvaller de mogelijkheid om de tijdelijke opslag van dns gegevens in de server, de cache, valse adresverwijzingen toe te voegen.
Pandora's doos
De kwetsbaarheid werd al een half jaar geleden ontdekt door Dan Kaminsky, die zijn ontdekking eerst geheim hield om de leveranciers van dns serversystemen in staat te stellen om een patch te ontwikkelen. Begin juli kwam Kaminsky samen met deze leveranciers met het nieuws naar buiten, waarvan hij alle details pas begin augustus wilde vrijgeven op de Black hat conferentie in Las Vegas.
Maar uiteraard sloegen andere security-experts en hackers aan het speculeren en graven en het duurde niet lang voordat Pandora's doos was opengewerkt. Het eigenhandig achterhalen van de kwetsbaarheid bleek onder meer mogelijk door het 'reverse engineeren' van de patches die waren ontwikkelt om het lek te dichten. Uiteindelijk lekten de details begin deze week uit, waarmee de kwestie nog verder in een stroomversnelling raakte.
Systeembeheerders met dns servers onder hun hoede dienen zo snel mogelijk een beschikbare patches te installeren. "De code ziet er serieus uit en gebruikt technieken die nog niet eerder zijn gedocumenteerd", aldus Amit Klein, cto van beveiligingsbedrijf Trusteer.
Dns heeft afgedaan
De hele security-wereld schreeuwt intussen in koor: patch nu uw name servers! Onder meer US-Cert geeft een overzicht van het lek, plus een lijst alle leveranciers van dns-systemen, of hun software kwetsbaar is voor het lek en welke pleisters inmiddels zijn aangebracht.
Volgens de Nederlandse dns-expert Bert Hubert bewijst de hele episode eens te meer dat het hele dns-systeem op de schop moet. Zelfs DNSSec acht hij niet meer dan een weinig werkbare 'encryptie-stoplap'. Hij werkt samen met Remco van Mook aan een herziening van het IP-adressysteem, ondergebracht in de Internet Engineering Task Force.
