DNS protocol onveilig: deel 2
Het is inmiddels een maand geleden dat ik berichtte over het door Dan Kaminsky ontdekte lek in het DNS protocol. Kaminsky heeft inmiddels zijn praatje gehouden tijdens de Black Hat Security Conference in Las Vegas, waar hij meer details over ‘het ergste internetbeveiligingsrisico sinds 1997′ uit de doeken deed. Hij sprak niet alleen over technische details van zijn ontdekking, maar ook over de risico’s ervan. Één ding is in ieder geval zeker: het internet is stuk en de verwachting is dat dit nog wel een tijdje zo zal blijven.
Het blijkt namelijk dat de uitgebrachte patches het hacken welliswaar vertragen, maar dat een hacker nog steeds 64% kans heeft om een gepatchte nameserver binnen 24 uur over te nemen. Al snel werden hier 14 uren vanaf gesnoept omdat een Rus een manier had ontdekt om (met een krachtige setup) een nameserver binnen 10 uur te hacken. Dit betekent dat beheerders zo’n 10 uur de tijd hebben om een hackpoging te detecteren; de veiligheid van internet valt of staat op dit moment met de bekwaamheid van de beheerders.
Even was ik ervan overtuigd dat SSL een vangnet zou vormen tegen het ontdekte lek, maar al snel bleek dat ook https verbindingen kwetsbaar zijn. Niet omdat de bestaande SSL certicaten kunnen worden misbruikt, maar om de hackers nieuwe certificaten kunnen aanvragen op het nieuwe (valse) ip-adres. Certificate authorities maken namelijk regelmatig gebruik van email om de identiteit van de aanvrager te kunnen verifieren. Je kunt vraagtekens zetten bij deze procedure, maar het zorgt er wel voor dat een hacker in het bezit kan komen van een geldig SSL certificaat voor een domein dat niet van hem/haar is. Het enige wat hij/zij daarvoor hoeft te doen is het (met behulp van het DNS lek) onderscheppen van emailverkeer.
Gelukkig wordt al flink nagedacht over eventuele oplossingen voor het lek. De regering van de Verenigde Staten heeft inmiddels besloten om DNSSEC te verplichten voor al het overheidsverkeer. Door velen wordt DNSSEC gezien als enige oplossing voor het DNSlek. Ik krijg zelf de indruk dat dit wel eens kan kloppen. Kaminsky beschrijft een aantal oplossingen op zijn website, maar DNSSEC is de enige oplossing die het probleem daadwerkelijk aanpakt bij de bron. De andere oplossingen zijn welliswaar goede maatregelen die een hackpoging bemoeilijken of voorkomen, maar zij lossen het daadwerkelijke lek niet op.
Kortom; allemaal over op DNSSEC. En als we daarmee klaar zijn kunnen we ons zorgen gaan maken over een ontdekt lek in het BGP protocol dat hackers in staat stelt het internet af te luisteren. Wederom geen klein lek, maar ook een serieus probleem. Misschien moeten iemand het internet maar gewoon uitzetten.
DNSSec kan een oplossing zijn voor het BGP-probleem, er is namelijk een protocol voor controleren van informatie die van BGP wordt doorgegeven via DNSSec.
Wat bedoel je precies? DNSSEC als oplossing voor het BGP-probleem? Dat lijkt me niet, want die twee zaken hebben in principe weinig met elkaar te maken.
Maar als je bedoeld dat er in het geval van DNSSEC sprake is van een bericht met digitale handtekening, en dat een man-in-the-middle attack in zo’n geval niet veel uithaalt, dan zijn we het eens. :-) En dat geldt natuurlijk niet alleen voor DNSSEC, maar voor alle protocollen die een vorm van encryptie toepassen.