Het percentage DSL- of kabelmodems dat kwetsbaar is voor een fundamenteel DNS-lek is gestegen van 50 procent in 2007 naar bijna 80 procent dit jaar, meldt het bedrijf Infoblox tegenover de IDG News Service. Infoblox waarschuwt dat deze modems met verkeerde instellingen gemakkelijk zijn te misbruiken voor het uitvoeren van DDoS-aanvallen (distributed denial of service).

Het probleem is dat de modems zo zijn geconfigureerd dat ze alle DNS-verzoeken accepteren, ongeacht de herkomst. DNS (Domain Name Systeem) is een protocol dat domeinnamen naar ip-adressen vertaald en andersom. Deze 'open recursive'-instelling van consumentenmodems zorgt ervoor dat die netwerkapparaten makkelijk zijn te misbruiken voor een zogeheten 'DNS amplification attack'.

Effectieve aanvalsmethode

Bij zo'n aanval stuurt een hacker een malicieus DNS-verzoek naar een modem die dan het antwoord verstuurt naar het internetadres van het beoogde slachtoffer. Volgens de onderzoekers van InfoBlox kunnen kwaadwillenden met een piepklein bericht van 50 byte naar een modem die een antwoord van 4 kilobyte laten versturen.

Bij een zeer groot aantal van dit soort verzoeken, afkomstig van duizenden modems tegelijk, is een server of complete website op deze manier plat te krijgen.

'Isp's beschermen niet'

Grote internetproviders doen te weinig om hun modems met veilige instellingen te leveren aan onwetende klanten, stelt onderzoeker Cricket Liu, vice-president van Infoblox. Volgens Liu scoren Telefonica en France Telecom het slechtst in het onderzoek, waarvan de resultaten pas later deze week online verschijnen. Het onderzoek is uitgevoerd door The Measurement Factory, dat claimt 5 procent van de ip-adressen op internet te scannen.

Ook onderzoeker David Dagon van de technische universiteit van Georgia stelt tegenover de IDG News Service dat het aantal van deze zogeheten 'open recursive'-systemen snel stijgt. Oorzaak is volgens hem de toename van het aantal netwerkapparaten dat meerdere computers in één huishouden internettoegang verschaft. Ook Dagon constateert dat providers heel vaak modems uitleveren met onveilige instellingen.

Bekende DNS-problemen

Het DNS-euvel is overigens al jaren bekend. Internetorganisatie Icann publiceerde er bijvoorbeeld in 2006 een rapport over (PDF). De bekendheid van het probleem heeft bepaald niet geholpen het aantal kwetsbare netwerkapparaten terug te brengen. Integendeel.

Veel servers zijn ook nog steeds kwetsbaar voor een ander DNS-beveiligingslek, dat vorig jaar door onderzoeker Dan Kaminsky werd onthuld. Dit lek zorgt ervoor dat internetters worden doorgestuurd naar servers die door hackers worden gecontroleerd zonder dat ze dat doorhebben. Infoblox schat dat 10 procent van de servers nog kwetsbaar is voor het Kaminsky-lek.

'Verslechtering door IPv6-overgang'

De overgang naar het nieuwe internetprotocol IPv6 kan volgens directeur Duane Wessels van The Measurement Factory het probleem verergeren. Steeds meer modems gebruiken daardoor namelijk een stukje software dat adressen omzet tussen IPv4 en IPv6 en dat programma werkt ook als een 'open resolver'.

Wessels zegt het "verbazingwekkend" te vinden dat er in de praktijk niet al veel meer aanvallen zijn die de beschreven methode gebruiken.