Cricket Liu: DNS kwetsbaar door Wet van Moore
Gepubliceerd: Dinsdag 17 november 2009
Auteur: Michiel van Blommestein
DNSSEC bestaat al tien jaar, maar ondanks alle waarschuwingen van beveiligers is het nog geen gemeengoed in de wereld van name servers en domeinen. Cricket Liu, een van de grootste autoriteiten op DNS-gebied, ziet licht aan het eind van de tunnel.
Om de zoveel tijd is het raak: iemand heeft weer een manier gevonden om door te dringen tot het telefoonboek van het internet. Toch hoor je er zelden iets over. "De technologie achter DNS is heel erg specialistisch. Zelfs technici kennen de ins en outs vaak niet goed", zegt Cricket Liu tegen Techworld. Internationaal vermaard DNS-expert. Liu was onlangs in het land voor een lezing op de IPAM BootCamp, een serie workshops voor DNS-beheerders. Tegenwoordig is Liu VP Architecture bij Infoblox, een fabrikant van DNS-beveiligingstechnologie en medebouwer aan beveiligingsextensie DNSSEC.
Cache-poisoning
Liu geeft tijdens zijn lezing een overzicht van verschillende kwetsbaarheden die de afgelopen jaren zijn opgedoken. Daarin komt hij al snel uit op cache-poisoning. Die zijn volgens Liu immers uiterst effectief, terwijl aanvallers er weinig voor hoeven te doen. En hoewel 10 procent van de servers kwetsbaar is voor een 'eenvoudige' aanval, is het bij de overige 90 procent een kwestie van tijd en rekenkracht, legt Liu uit.
"DNS wordt kwetsbaarder door de Wet van Moore. Eigenlijk heb je bij cache-poisoning te maken met brute-force-aanvallen op de meegestuurde ID's. Die moeten worden geraden om resultaten met een valse adres in de cache te krijgen." Naarmate de ID's langer worden, duurt dat raden uiteraard ook langer, maar aanvallers hebben volgens Liu steeds meer computerkracht tot hun beschikking.
Sterker: sinds jaar en dag zijn de query-ID's vastgesteld op een cijfer tussen 0 en 65536. Dat is dus slechts 16-bits; voor moderne systemen is dat een eitje om te kraken. "Dat kost ze helemaal niets", zegt Liu.
De gefabriceerde antwoorden moeten nog aan een tweede voorwaarde voldoen: het antwoord moet eerder aankomen dan het antwoord van de echte name server. Maar helaas omzeilt de beruchte Kaminsky-methode dit door ook het aantal aanvragen kunstmatig te vergroten. In plaats van een zoektocht op bijvoorbeeld het domein aanval.com, zoekt het simultaan naar bijvoorbeeld A0000001.aanval.com, A0000002.aanval.com, enzovoorts. Met een apart trucje valt het DNS-systeem vervolgens te misleiden zodat ook het root-domein in de cache wordt weggeschreven.
