Kaminsky-aanval is de grootste bedreiging
Gepubliceerd: Woensdag 9 september 2009
Auteur: Sander van der Meijs
De instellingen die bij SURFnet zijn aangesloten zijn erg zuinig op hun data en de vervuiling van de cache van een DNS-server kan voor hen dus desastreuze gevolgen hebben. Vandaar dat de organisatie voorstander is van een zo snel mogelijke uitrol van DNSSEC.
Een jaar nadat Kaminsky heeft aangetoond hoe groot het lek in DNS wel niet is, wordt er hard gewerkt aan de implementatie van DNSSEC. Daarbij treden in Nederland drie partijen op de voorgrond, NLnet Labs, SIDN en SURFnet. Gisteren kwam NLnet Labs aan het woord, en vandaag is SURFnet aan de beurt, dat deze week al bekendmaakte dat het klaar is voor DNSSEC.
SURFnet is onderdeel van de SURF-organisatie, waarin zo'n 180 instellingen, zoals universiteiten, Academische ziekenhuizen, bibliotheken en onderzoeksinstellingen met elkaar samenwerken. SURFnet verbindt die instellingen met elkaar door middel van netwerkdiensten en op dit moment zitten er ongeveer 1 miljoen eindgebruikers op dat netwerk. Bij SURFnet is men erg geïnteresseerd in DNSSEC. Roland van Rijswijk, Manager Middleware Services van SURFnet, legt uit waarom.
Cache poisoning
"Wij doen er alles aan om internet veilig te maken voor de bij ons aangesloten instellingen en hun eindgebruikers", zegt Van Rijswijk. Bij de aangesloten instellingen wordt met hoogwaardige onderzoeksgegevens gewerkt en die worden uitgewisseld over internet. Die data mag niet in verkeerde handen terecht komen. "Ook in de onderzoekswereld is er natuurlijk een grote concurrentiestrijd tussen onderzoekers onderling, dus onderzoekers zijn heel zuinig op hun data." Cache poisoning is een ideale aanval als je bijvoorbeeld onderzoeksdata wilt stelen zonder dat het slachtoffer daar iets van merkt.
Van Rijswijk: "Als je gaat kijken naar de belangrijkste kwetsbaarheden in DNS en als je gaat kijken naar problemen met integriteit, dan is cache poisoning, dus de Kaminsky-aanval, het grootste risico. DNSSEC is op dit moment de enige oplossing om dat aan te pakken." Hij rekent voor dat je met een brute force aanval binnen enkele uren een nameserver kunt aanvallen. "Maar als je de tijd neemt en het low key houdt, met bijvoorbeeld maar 100 queries per seconde, als grote isp merk je niet dat zoiets gebeurt, dan heb je binnen zes weken 50 procent kans om de name server te pakken te krijgen. Dan klinkt als heel erg weinig, maar je moet bedenken dat zo'n aanvaller alle tijd van de wereld heeft. Bovendien hoeft hij maar één keer te slagen en hij is binnen."
Als zo'n aanval eenmaal geslaagd is, kan de aanvaller vertellen dat verkeer voor bepaalde domeinen bij een andere nameserver moet zijn dan de bedoeling is. "Als ik in een cache zet dat men voor .nl niet bij de nameservers van SIDN moet zijn maar bij die van mij, dan kan ik alles wat in de .nl zone staat omleiden", zegt Van Rijswijk. "Dat kan ik bijvoorbeeld heel selectief doen. Ik kan alleen het e-mail-verkeer nemen of alleen het VoIP-verkeer. Bijna alle informatie die ik dan geef klopt, behalve waar de email naartoe moet. En als ik het echt gemeen wil doen, dan ga ik bijvoorbeeld ieder uur vijf minuten verkeerde antwoorden geven en de rest van het uur geef ik de goede antwoorden. Op het moment dat mensen gaan klagen, is het alweer goed en zullen de helpdeskmedewerkers denken dat er niets aan de hand is."
