De exploits en uitleg zijn geschreven door HD Moore, de man achter Metasploit, een gereedschapskist voor hackers en 'I)ruid' van de Computer Academic Underground. Met de code is het in principe mogelijk een succesvolle hack uit te voeren op één of meerdere van de miljoenen DNS-servers.

Pandora's doos

De bug werd bij toeval ontdekt door Dan Kaminsky, een onderzoeker van beveiligingsbedrijf IOActive. Door bepaalde queries naar de DNS-server te sturen, was het voor aanvallers mogelijk om een slachtoffer ongemerkt van een legitieme site door te sturen naar een kwaadaardige site.

Kaminsky hield zijn ontdekking eerst geheim om de leveranciers van DNS-serversystemen in staat te stellen om een patch te ontwikkelen. Begin juli kwam Kaminsky samen met deze leveranciers met het nieuws naar buiten, waarvan hij alle details pas begin augustus wilde vrijgeven op de Black Hat conferentie in Las Vegas.

Maar uiteraard sloegen andere security-experts en hackers aan het speculeren en graven en het duurde niet lang voordat Pandora's doos was opengewerkt. Het eigenhandig achterhalen van de kwetsbaarheid bleek onder meer mogelijk door het 'reverse engineeren' van de patches die waren ontwikkelt om het lek te dichten. Uiteindelijk lekten de details begin deze week uit, waarmee de kwestie nog verder in een stroomversnelling raakte.

Systeembeheerders met DNS-servers onder hun hoede dienen zo snel mogelijk een beschikbare patches te installeren. "De code ziet er serieus uit en gebruikt technieken die nog niet eerder zijn gedocumenteerd", aldus technisch directeur Amit Klein van beveiligingsbedrijf Trusteer. Onder meer US-Cert geeft een overzicht van het lek, plus een lijst met alle leveranciers van dns-systemen, of hun software kwetsbaar is voor het lek en welke pleisters inmiddels zijn aangebracht.

Encryptiestoplap

Volgens de Nederlandse dns-expert Bert Hubert bewijst de hele episode eens te meer dat het hele DNS-systeem op de schop moet. Zelfs DNSSec acht hij niet meer dan een weinig werkbare 'encryptie-stoplap'. Hij werkt samen met Remco van Mook aan een herziening van het IP-adressysteem, ondergebracht in de Internet Engineering Task Force.

Bron: Webwereld Bron: Techworld