IETF twijfelt over aanpak DNS-lek

Het Kaminsky-lek heeft betrekking op de mogelijkheid, valse verwijzingen naar sites te plaatsen op zogeheten 'recursive DNS-servers'. Dit type server wordt binnen het Domain Name System door veel bedrijven gebruikt om het internetverkeer van en naar het eigen lokale netwerk te regelen. Dat het mogelijk was daar nepverwijzingen in aan te brengen, was al geruime tijd bekend. Dat leek echter een zo tijdrovende klus, dat het risico van misbruik nihil leek. Totdat beveiligingsonderzoeker Dan Kaminsky bijna een jaar terug een methode vond waarmee dat klusje in enkele seconden is te klaren.

Verschillende leveranciers hebben al patches uitgebracht, maar bij een kwart van de openbare DNS-servers is die patch nog steeds niet aangebracht. De IETF broedt nu op mogelijkheden om het probleem bij de bron aan te pakken, door het DNS-protocol zelf zo te wijzigen dat het invoegen van nepverwijzingen onmogelijk wordt. Bij de DNS Extensions Group, die dit probleem op zijn bordje heeft, zijn nu vijf oplossingen voor het probleem ingediend. De werkgroep wil voor de volgende vergadering, die in maart 2009 gepland staat, de knoop doorhakken. Men durft daarbij niet over één nacht ijs te gaan omdat de kans op problemen bij het veranderen van een protocol veel groter is dan bij een patch voor software.

Een zesde oplossing is gewoon niets doen aan het DNS-protocol. En daar zijn zeker voorstanders voor te vinden. IETF heeft namelijk allang een oplossing voor het probleem in de vorm van het modernere DNSsec. Dat biedt echter alleen een oplossing als iedereen het gebruikt. Tot nog toe is dat maar bij een fractie van de DNS-servers het geval: bedrijven zien op tegen het gedoe. Het Kaminsky-lek zou bedrijven wakker kunnen schudden voor de gevaren van het gebruik van het overjarige DNS-protocol, hopen de voorstanders van nietsdoen, zeker als er geslaagde pogingen tot misbruik aan het licht komen.