Beheer

Infrastructuur
phishing

SIDN luidt noodklok over DNSSEC-beveiliging

Vooral banken en ISP’s stellen klanten nodeloos bloot aan phishing-gevaar

© Pixabay
21 februari 2017

Vooral banken en ISP’s stellen klanten nodeloos bloot aan phishing-gevaar

Veel sites in het .nl-domein gebruiken nog geen DNSSEC. Bezoekers zijn daardoor onvoldoende beveiligd tegen omleiding naar valse sites. Dat stelt SIDN, de beheerder van het .nl-domein, op basis van een vandaag gepresenteerd rapport [.pdf].

Op dit moment is nog niet de helft (46%) van alle .nl-domeinen voorzien van een digitale handtekening. Vooral in de bankensector (6%) en bij de ISP’s (22%) blijft de beveiliging van domeinnamen met DNSSEC achter. Overheden hebben daarentegen in de afgelopen drie jaar een grote stap gemaakt. Ook bij een inventarisatie in 2014 bleken met name financiële dienstverleners, beursgenoteerde ondernemingen, overheidsorganisaties en internetproviders al een grote achterstand te hebben.

In aanloop naar de Tweede Kamerverkiezingen op 15 maart 2017 heeft SIDN ook de domeinnamen van de politieke partijen, voorlichtingssites en wetenschappelijke bureaus meegenomen in de inventarisatie. Ruim de helft (54%) van de 74 onderzochte domeinen heeft de DNSSEC-beveiliging niet op orde.  De DNSSEC-inventarisatie 2017 biedt inzicht in de stand van zaken rondom de DNSSEC-beveiliging op domeinnamen die belangrijk zijn voor Nederland. Voor de DNSSEC-inventarisatie 2017 heeft SIDN ruim 7.000 domeinnamen laten controleren in vier overkoepelende sectoren: financiële dienstverlening, publieke sector, internet- en telecombedrijven en bedrijfsleven. Hierbij is gebruikgemaakt van de DNSSEC Portfolio Checker van SIDN Labs.

Omgeleid naar namaaksite

DNSSEC is de cryptografische beveiliging van de ‘bewegwijzering’ van het internet. Bezoekers van domeinnamen die beveiligd zijn met DNSSEC, worden door DNSSEC beschermd tegen omleiding naar valse IP-adressen. Als een domeinnaam niet met deze beveiliging is uitgerust, bestaat de kans dat gebruikers zonder dat ze het weten worden omgeleid naar een namaakwebsite waar valse informatie wordt gepubliceerd. Daarnaast vormt DNSSEC de basis voor nieuwe toepassingen, zoals het veiliger maken van e-mail en het eenvoudig delen van cryptografische sleutels om internetcommunicatie te beveiligen.

Positie DNSSEC verbeterd

In de afgelopen twee jaar zijn er verschillende nieuwe veiligheidstoepassingen bovenop de DNSSEC-infrastructuur geïmplementeerd. Hiermee is de positie van DNSSEC veranderd van een technologie-gedreven kostenpost naar een enabler voor belangrijke beveiligingstoepassingen die phishing, spamming, spoofing en andere e-mail malware tegengaat.

Tevens zijn de problemen rondom het veilig verhuizen van domeinnamen recent opgelost. SIDN heeft een techniek ontwikkeld waarmee registrars wereldwijd op dezelfde, uniforme wijze via EPP (Extensible Provisioning Protocol) domeinnamen veilig kunnen verhuizen. Deze techniek is vorige week officieel tot wereldwijde standaard uitgeroepen door de Internet Engineering Task Force (IETF). 

"Vooral de ISP's zijn nu aan zet"

Volgens algemeen directeur Roelof Meijer van SIDN zijn er geen argumenten meer zijn om DNSSEC-beveiliging niet te implementeren: “Wij zijn van mening dat vooral de grote internet service providers nu aan zet zijn. De handtekeningen van domeinnamen moeten immers ook ergens worden gecontroleerd en dat is een taak voor deze partijen. XS4ALL heeft eind vorig jaar een belangrijke stap gezet door als eerste landelijke internetprovider DNSSEC te gaan valideren.” (..) “Banken zouden de belangrijkste gebruikers moeten zijn van DNSSEC-beveiliging, maar zij scoren voor de tweede keer op rij het slechtst van alle onderzochte domeinnamen. Met het sluiten van de fysieke bankkantoren en het verminderen van het aantal pinautomaten wordt de online voordeur van de banken steeds belangrijker. Bovendien hebben zij van alle bedrijven het meeste last van phishing en spoofing, iets waar DNSSEC in combinatie met DKIM en DMARC bescherming tegen kan bieden”

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
Anoniem 21 februari 2017 15:14

Probleem met de PTOLU lijst is dat die niet afgedwongen of ge-audit wordt. Wie zorgt er voor dat een gemeente wat moet uitleggen ? EN dan nog, voor de meeste standaarden geldt dat deze pas ingevoerd hoeven worden 'bij vervanging'. Een bestaand ISP Contract voor DNS Registratie en hosting, of webhosting, kan je gewoon jaarlijks verlengen. Dan is er geen sprake van 'vervanging'.
SIDN zou een 'klassificatie' moeten aangeven, zodat het voor de klant duidelijk is hoe effectief de ISP of provider is met het invoeren van standaarden. Soms helpt het als je een organisatie aan de schandpaal nagelt. Daarnaast zouden er maatregelen genomen kunnen worden als een lek of inbraak het directe gevolg kan zijn van het niet invoeren van deze technieken. Dus bijvoorbeeld als een bank geen DNSSEC gebruikt, en jouw rekening wordt geplunderd door phishing, dat de bank je dan gewoon altijd moet compenseren, en niet pas na een onderzoek.

Anoniem
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.