Ernstige fout in DNS ontdekt en gerepareerd
De fout werd al zes maanden geleden ontdekt door Dan Kaminsky, een specialist met een eigen bedrijfje in computerbeveiliging. Hij hield zijn ontdekking geheim, maar klopte bij de grote bedrijven aan die betrokken zijn bij de ontwikkeling van hardware en software voor het internet.
Een van de weinige ingewijden die in maart betrokken werden bij het zoeken naar een oplossing van het probleem, is Jaap Akkerhuis van NLnetlabs, een Nederlandse ontwikkelaar van een caching nameserver. “Bijzonder aan dit probleem is dat het een fout in het protocol betreft, en geen implementatiefout. Daarom moeten ook zoveel partijen aanpassingen maken.”
In een samenwerking met grote partijen zoals Cisco, Microsoft en Sun is een oplossing gevonden. Die wordt nu in de vorm van een beveiligingsupdate door alle betrokkenen gedistribueerd. De details van het probleem houden de ingewijden nog voor zich tot de komende Black Hat-beveiligingsconferentie in augustus om beheerders de gelegeheid te geven de aanpassingen aan te brengen.
Akkerhuis zegt dat het probleem zit in de mogelijkheid veranderingen aan te brengen in de cache van de DNS. De DNS-infrastructuur zorgt voor de vertaling van een in de browser ingetypte domeinnaam naar een IP-adres van de computer waar de desbetreffende website op te vinden is.
Door het lek kunnen kwaadwillenden verkeer omleiden zelfs als de domeinnaam van de te bezoeken site correct is ingevuld. Bij het opvragen van een domein op internet geeft de DNS namelijk uit de gecorrumpeerde cache de malafide verwijzing door. Tot nog toe moeten phishers gebruikmaken van ‘social engineering’ om hun slachtoffers persoonlijke informatie te ontfutselen. Zij verleiden bijvoorbeeld via e-mail websurfers een gekopieerde site van een financiële instelling te bezoeken met een domeinnaam die sterk lijkt op de authentieke site maar daar toch van afwijkt.
Ofschoon de DNS-hoofdstructuur maar uit een beperkt aantal servers bestaat, zijn er talloze ‘mirrors’ en caches die allemaal gebruikmaken van he DNS-protocol. Zo hebben bijvoorbeeld veel settopboxen een eigen DNS-cache, maar ook alle ISP’s. Akkerhuis: “Veel browsers hebben een nameserver-cache.”
Tot op heden zijn er geen ‘exploits’, oftewel pogingen tot misbruik van de fout gesignaleerd. Dat gaf de specialisten de ruimte rustig te werken aan de oplossing. “Er was de afspraak dat, zodra zich problemen zouden voordoen, de partijen ieder met hun eigen deeloplossingen naar buiten zouden komen.”