Om de zoveel tijd is het raak: iemand heeft weer een manier gevonden om door te dringen tot het telefoonboek van het internet. Toch hoor je er zelden iets over. “De technologie achter DNS is heel erg specialistisch. Zelfs technici kennen de ins en outs vaak niet goed”, zegt Cricket Liu tegen Techworld. Internationaal vermaard DNS-expert. Liu was onlangs in het land voor een lezing op de IPAM BootCamp, een serie workshops voor DNS-beheerders. Tegenwoordig is Liu VP Architecture bij Infoblox, een fabrikant van DNS-beveiligingstechnologie en medebouwer aan beveiligingsextensie DNSSEC.

Cache-poisoning

Liu geeft tijdens zijn lezing een overzicht van verschillende kwetsbaarheden die de afgelopen jaren zijn opgedoken. Daarin komt hij al snel uit op cache-poisoning. Die zijn volgens Liu immers uiterst effectief, terwijl aanvallers er weinig voor hoeven te doen. En hoewel 10 procent van de servers kwetsbaar is voor een 'eenvoudige' aanval, is het bij de overige 90 procent een kwestie van tijd en rekenkracht, legt Liu uit.

"DNS wordt kwetsbaarder door de Wet van Moore. Eigenlijk heb je bij cache-poisoning te maken met brute-force-aanvallen op de meegestuurde ID's. Die moeten worden geraden om resultaten met een valse adres in de cache te krijgen.” Naarmate de ID's langer worden, duurt dat raden uiteraard ook langer, maar aanvallers hebben volgens Liu steeds meer computerkracht tot hun beschikking.

Sterker: sinds jaar en dag zijn de query-ID's vastgesteld op een cijfer tussen 0 en 65536. Dat is dus slechts 16-bits; voor moderne systemen is dat een eitje om te kraken. “Dat kost ze helemaal niets”, zegt Liu.

De gefabriceerde antwoorden moeten nog aan een tweede voorwaarde voldoen: het antwoord moet eerder aankomen dan het antwoord van de echte name server. Maar helaas omzeilt de beruchte Kaminsky-methode dit door ook het aantal aanvragen kunstmatig te vergroten. In plaats van een zoektocht op bijvoorbeeld het domein aanval.com, zoekt het simultaan naar bijvoorbeeld A0000001.aanval.com, A0000002.aanval.com, enzovoorts. Met een apart trucje valt het DNS-systeem vervolgens te misleiden zodat ook het root-domein in de cache wordt weggeschreven.

DNSSEC

Hoewel een patch voor Kaminsky-kwetsbaarheid al lang en breed voorhanden is, blijft het volgens Liu een tijdelijke oplossing; alleen het raden van de query-ID's wordt iets moeilijker gemaakt, waardoor je slechts een tijdswinst boekt. Desondanks laat een onderzoekje van Inforblox volgens Liu zien dat 10 procent van de nameservers nog steeds niet is gepatcht.

DNSSEC gaat dit soort aanvallen tegen door elk bericht van een digitale handtekening te voorzien. Ondertussen ligt DNSSEC vast in verschillende standaarden. Volgens Liu was de Kaminsky-methode niet de enige reden voor de grotere interesse in de beveilingsextensie, "maar de kwetsbaarheid gaf het wel een goede schop onder de kont."

Het beveiligingssysteem heeft ook zijn nadelen. "Domeinen worden met DNSSEC een heel stuk groter, en daarmee de voetafdruk op de hardware." De doorgaande ontwikkeling van DNSSEC is ook een reden voor gebruikers om de kat uit de boom te kijken. "De specificaties zijn door de jaren heen flink aangepast. Je hebt de oorspronkelijke specificaties uit midden jaren 90, je hebt een tweede generatie en je hebt nog aanpassingen daarop. Dat lokte een afwachtende houding uit: men wist dat de tweede generatie eraan kwam, en dan moest ook nog rekening worden gehouden met aanpassingen voor de derde generatie."

En dan is er nog een klassiek kip-ei geval: "Veel van de parent-zones zijn nog niet ondertekend. Waarom zou een bedrijf ervoor kiezen om zijn eigen zone te tekenen, als de onderliggende zone niet getekend is?"

Optimistisch

Daarnaast wil het volgens Liu niet echt doordringen hoe gevaarlijk eventuele lekken zijn. DNS-technologie is erg specifiek, en systeembeheerders die er niet direct mee te maken hebben, zullen zich er ook niet echt mee bezig houden. “Dat begrijp ik ook wel. Iemand die niet bij een energiecentrale werkt zal zich ook niet druk maken om de beveiliging aldaar”, zegt Liu. “Maar dat verandert op het moment dat de stroom uitvalt.”

Ondanks alles is Liu optimistisch. Hij denkt dat de ingebruikname van DNSSEC komend jaar een vlucht zal nemen. Hij wijst erop dat de rootservers ergens volgend jaar getekend moeten zijn, en dat steeds meer servers van bedrijven zelf worden ondertekend.

Hij wordt daarin gesterkt in berichten vanuit Verisign, die afgelopen weekeinde aangaf in 2011 over te gaan op DNSSEC. Nederlandse partijen zijn ook actief met de extensies in de weer.

"100 procent inzet zal nooit mogelijk zijn, er zijn honderden miljoenen zones in de wereld", waarschuwt Liu. "Maar dat hoeft ook helemaal niet. Het gaat om de belangrijkste, kritieke informatie die overgebracht wordt."

Bron: Techworld