Door de presentatie van Kaminsky werden onder andere ISP’s ruw wakker geschud en met hun neus op de inherente zwakte gedrukt van DNS, de fundamentele internet-standaard die IP-adressen aan domeinnamen koppelt.

De drukte rond de ontdekking van Kaminsky gaf ook de broodnodige impuls aan DNS Security Extensions (DNSSEC), een add-on beveiligingsmechanisme dat een beetje achterbleef door gebrek aan vraag van netwerkbeheerders.

Boost van buitenaf

Kaminsky “heeft mensen bewust gemaakt van de kwetsbaarheid van DNS, maar ook van internetbeveiliging in het algemeen, en van hoe afhankelijk we zijn van protocollen die geen beveiliging ingebouwd hebben”, zegt Scott Rose, een computerwetenschapper bij de National Institutes of Standards en Technology en een expert in DNS beveiliging.

“Er was altijd al een discussie in de protocolgemeenschap over de kwetsbaarheid van DNS en over de noodzaak om met DNSSEC aan de slag te gaan, maar nu heeft deze zaak een fikse boost van buitenaf gekregen.” Dat is dankzij Kaminsky, zei Rose. “Hij heeft aan de orde gesteld wat er kan gebeuren als je DNS aanvalt. Het gaat niet alleen om het doorverwijzen van browsers, maar ook om het ondermijnen van e-mail. Met al die andere aanvallen die Kaminsky heeft uitgetekend heeft hij deze zaak voor het voetlicht gebracht.”

Deskundigen zeggen dat er in de laatste 12 maanden meer is gedaan om de veiligheid van DNS te verstevigen dan in de tien jaar die er aan voorafgingen, dankzij de ontdekking van Kaminsky. Maar toch blijft DNS even kwetsbaar voor cache poisoning attacks als het was.

Met open mond

De Kaminsky bug “was belangrijk voor de internetgemeenschap in zijn geheel”, zegt Joe Gersch, chief operating officer van Secure64, dat DNS server software en automated tools voor de migratie naar DNSSEC verkoopt. Gersch was vorige zomer op de Black Hat conferentie waar Kaminsky het DNS cache poisoning gevaar uit de doeken deed voor een zaaltje waar de bezoekers alleen konden staan.

“Kaminsky deed er twintig minuten over om uit te leggen hoe het werkte en daarna lichtte hij in een half uur de manieren toe waarop de bug kon worden uitgebuit”, zegt Gersch. “Hij liet zien hoe je, als DNS eenmaal te pakken had, alles te pakken had. En hij liet zien hoe verraderlijk het lek is zodat je niet eens weet dat je aangevallen bent. Iedereen stond met open mond te luisteren.”

Gersch zegt dat kaminsky meer heeft gedaan dan de mensen er alleen bewust van maken dat DNS te weinig beveiliging in zich heeft. “Het was een behoorlijk heftige oproep om in actie te komen. Eerst moest er een patch komen en daarna…. moest men DNSSEC in gaan zetten”, zegt Gersch.

Korte en lange termijn

Sindsdien hebben de meeste netwerk engineers hun DNS servers gepatcht tegen de Kaminskybug. En patchen is precies wat Kaminsky aanraadde als een fix op korte termijn. De fix op lange termijn voor de Kaminsky-aanvallen is DNSSEC, waarmee de cache poisoning aanvallen worden voorkomen doordat webistes hun domeinnamen en corresponderende IP-adressen kunnen verifiëren met behulp van handtekeningen en publieke sleutels.

Het probleem is dat DNSSEC het beste werkt als het over het hele internet is uitgerold, vanaf de root zone aan de top van de DNS hiërarchie via de individuele top-level domeinen zoals .com en .net, tot aan de individuele domeinnamen. Zolang het nog niet zover is, blijven websites kwetsbaar voor de Kaminsky-aanvallen.

Meer aanvallen

De Kaminskybug is “de belangrijkste drijfveer van DNSSEC”, zegt Rodney Joffe, senior vice president van Neustar, dat managed DNS services verkoopt en bovendien Cache Defender, een tijdelijke fix tegen cache poisoning aanvallen. Het probleem is, zegt Joffe, dat “het nog zeker een jaar zal duren voor een volledige uitrol van DNSSEC.”

Ondertussen zien ISP’s en webmasters een groeiend aantal cache poisoning aanvallen, hoewel maar een klein deel daarvan publiek bekend worden. Zo meldde de Ierse ISP Eircom op 17 juli dat het slachtoffer was geworden van een cache poisoning aanval, die resulteerde in twee grote storingen. Bovendien werden klanten geredirect van populaire websites als Facebook naar nep-websites.

Een ander geval vond plaats in april. Toen meldde de Braziliaanse bank Bradesco dat een aantal van haar klanten waren doorverwezen naar websites waar geprobeerd was hun wachtwoorden te stelen. Dat was veroorzaakt doordat hun ISP, Net Virtua, het slachtoffer was geworden van een cache poisoning aanval.

“We zien het bewijs van cache poisoning aanvallen omdat we open recursive servers monitoren, en we zien ze voortdurend”, zei Joffe. “Een jaar geleden was het een theoretische bedreiging, maar nu gebeurt het echt.”

Het risico op cache poisoning aanvallen is in feite groter dan het een jaar geleden was, omdat de Kaminsky bug bekend is in de hack-gemeenschap. “Er komen steeds meer gevallen van cache poisoning, en mensen zijn bang omdat het verraderlijke aanvallen zijn”, zegt Gersch, die er op wijst dat bedrijven zich er vaak niet bewust van zijn data ze slachtoffer zijn geworden van zo’n aanval. “We willen naar DNSSEC toe, maar ondertussen broedt de industrie op creatieve manieren om het probleem uit de weg te gaan, totdat DNSSEC uitgerold is.

Vooruitgang

Het laatste jaar is er veel vooruitgang geboekt. De regering van de VS heeft opgedragen dat DNSSEC tegen eind 2009 uitgerold moet zijn op hun .gov domein. Bovendien zorgt het ervoor dat de DNS root servers gesigneerd worden. Tegen juni 2010 moeten ook andere overheidsinstanties DNSSEC uitgerold hebben op hun DNS servers.

Het .org domein ondersteunt al DNSSEC, net als de landdomeinen van Zweden, Brazilië, Puerto Rico, Bulgarije en Tsjechië. Maar het plan van VeriSighn om DNSSEC op .com en .net uit te rollen is toch het belangrijkst. Die operatie moet in 2011 voltooid zijn.

“Dit is zeker het jaar van DNSSEC geweest”, zegt Joffe. “We hebben er 13 jaar aan gewerkt, maar dit jaar is DNSSEC werkelijkheid geworden.”

Overigens zitten er nog wat oneffenheden in DNSSEC, en deskundigen waarschuwen ervoor dat websites onbereikbaar kunnen worden als hun domeinen overgaan op het nieuwe beveiligingsprotocel. Dat zou dan komen door problemen met de configuratie.

“De grootste operationele hindernissen die we tegenkomen zijn een aantal kleine home routerjes en een paar intrusion detection systemen en firewalls met defoult configuraties die moeite hebben met DNSSEC”, zegt Rose. “Gebruikers moeten hun systemen opnieuw configureren, zodat ze de sleutels en handtekeningen aankunnen die samengaan met DNSSEC.”

Bron: Techworld