Overslaan en naar de inhoud gaan

Ernstige fout in DNS ­ontdekt en gerepareerd

Een ernstige fout in het Domain Name System (DNS) dat het adresboek van internet vormt, biedt phishers mogelijkheden websurfers eenvoudig naar malafide sites te leiden.

De fout werd al zes maanden geleden ontdekt door Dan Kaminsky, een specialist met een eigen bedrijfje in computerbeveiliging. Hij hield zijn ontdekking geheim, maar klopte bij de grote bedrijven aan die betrokken zijn bij de ontwikkeling van hardware en software voor het internet.
DNS
© CC0 - Public Domain
CC0 - Public Domain



Een van de weinige ingewijden die in maart betrokken werden bij het zoeken naar een oplossing van het probleem, is Jaap Akkerhuis van NLnetlabs, een Nederlandse ontwikkelaar van een caching nameserver. “Bijzonder aan dit probleem is dat het een fout in het protocol betreft, en geen implementatiefout. Daarom moeten ook zoveel partijen aanpassingen maken.”

In een samenwerking met grote partijen zoals Cisco, Microsoft en Sun is een oplossing gevonden. Die wordt nu in de vorm van een beveiligingsupdate door alle betrokkenen gedistribueerd. De details van het probleem houden de ingewijden nog voor zich tot de komende Black Hat-beveiligingsconferentie in augustus om beheerders de gelegeheid te geven de aanpassingen aan te brengen.

Akkerhuis zegt dat het probleem zit in de mogelijkheid veranderingen aan te brengen in de cache van de DNS. De DNS-infrastructuur zorgt voor de vertaling van een in de browser ingetypte domeinnaam naar een IP-adres van de computer waar de desbetreffende website op te vinden is.

Door het lek kunnen kwaadwillenden verkeer omleiden zelfs als de domeinnaam van de te bezoeken site correct is ingevuld. Bij het opvragen van een domein op internet geeft de DNS namelijk uit de gecorrumpeerde cache de malafide verwijzing door. Tot nog toe moeten phishers gebruikmaken van ‘social engineering’ om hun slachtoffers persoonlijke informatie te ontfutselen. Zij verleiden bijvoorbeeld via e-mail websurfers een gekopieerde site van een financiële instelling te bezoeken met een domeinnaam die sterk lijkt op de authentieke site maar daar toch van afwijkt.

Ofschoon de DNS-hoofdstructuur maar uit een beperkt aantal servers bestaat, zijn er talloze ‘mirrors’ en caches die allemaal gebruikmaken van he DNS-protocol. Zo hebben bijvoorbeeld veel settopboxen een eigen DNS-cache, maar ook alle ISP’s. Akkerhuis: “Veel browsers hebben een nameserver-cache.”
Tot op heden zijn er geen ‘exploits’, oftewel pogingen tot misbruik van de fout gesignaleerd. Dat gaf de specialisten de ruimte rustig te werken aan de oplossing. “Er was de afspraak dat, zodra zich problemen zouden voordoen, de partijen ieder met hun eigen deeloplossingen naar buiten zouden komen.”

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in