Kaminsky: veel aanvallen met DNS

Er waren 06.00 uur telefoontjes van Finse certificaatautoriteiten en ook enkele vrij harde woorden van zijn collega's in de beveiligingsgemeenschap, zelfs een per ongeluk uitgelekte Black Hat-presentatie, maar nadat de reactie op een van de meest gepubliceerde internetgebreken in het recente geheugen werd beheerd, zei Dan Kaminsky: Woensdag zou hij het helemaal opnieuw doen. <> Kaminsky's full-time baan in de afgelopen paar maanden heeft gewerkt met softwareleveranciers en internetbedrijven om een ​​wijdverbreide fout in het DNS (domeinnaamsysteem), gebruikt door computers, op te lossen om elkaar op internet te vinden. Kaminsky maakte het probleem voor het eerst bekend op 8 juli en waarschuwde zakelijke gebruikers en internetserviceproviders om hun software zo snel mogelijk te patchen.

Op woensdag onthulde hij meer details over het probleem tijdens een drukke sessie op de Black Hat-conferentie, waarin een duizelingwekkende reeks aanvallen die DNS zouden kunnen uitbuiten. Kaminsky sprak ook over een deel van het werk dat hij had gedaan om kritieke internetservices te repareren die ook met deze aanval kunnen worden geraakt.

[Verdere lectuur: de beste NAS-boxen voor mediastreaming en back-up]

Door een reeks van bugs in de manier waarop het DNS-protocol werkt, had Kaminsky een manier bedacht om zeer snel DNS-servers te vullen met onnauwkeurige informatie. Criminelen konden deze techniek gebruiken om slachtoffers om te leiden naar nep-websites, maar in Kaminsky's toespraak beschreef hij nog veel meer mogelijke soorten aanvallen.

Hij beschreef hoe de fout kon worden gebruikt om e-mailberichten, software-updatesystemen of zelfs het wachtwoord in gevaar te brengen recovery-systemen op populaire websites. Hoewel velen dachten dat SSL-verbindingen (Secure Socket Layer) ongevoelig waren voor deze aanval, toonde Kaminsky ook aan hoe zelfs de SSL-certificaten die worden gebruikt om de geldigheid van websites te bevestigen kunnen worden omzeild met een DNS-aanval. Het probleem, zei hij, is dat de bedrijven die SSL-certificaten afgeven, internetdiensten zoals e-mail en internet gebruiken om hun certificaten te valideren. "Raad eens hoe veilig dat is in het gezicht van een DNS-aanval," zei Kaminsky. "Niet erg."

"SSL is niet het wondermiddel dat we zouden willen," zei hij.

Een ander groot probleem is dat Kaminsky zegt dat de "mijn wachtwoord vergeten" aanval is. Dit is van invloed op veel bedrijven die op het web gebaseerde wachtwoordherstel-systemen hebben. Criminelen kunnen beweren dat ze het wachtwoord van een gebruiker voor de website hebben vergeten en gebruiken vervolgens DNS-hackingtechnieken om de site te misleiden om het wachtwoord naar hun eigen computer te verzenden.

Naast de DNS-leveranciers zei Kaminsky dat hij met bedrijven had gewerkt zoals Google, Facebook, Yahoo en eBay om de verschillende problemen met betrekking tot de fout op te lossen. "Ik wil mijn mobiele telefoonrekening deze maand niet zien", zei hij.

Hoewel sommige deelnemers aan de conferentie woensdag zeiden dat Kaminsky's lezing was overhyped, zei CEO David Ulevitch van OpenDNS dat de IOActive-onderzoeker een waardevolle dienst op internet heeft verricht gemeenschap. "De volledige omvang van de aanval moet zelfs nog volledig worden gerealiseerd," zei hij. "Dit is van invloed op elke persoon op internet."

Er zijn echter enkele haperingen geweest. Twee weken nadat Kaminsky voor het eerst het probleem had besproken, werden technische details van de bug per ongeluk door beveiligingsbedrijf Matasano Security naar internet gelekt. Ook zijn sommige high-traffic DNS-servers gestopt met werken nadat de eerste patch was toegepast, en verschillende firewallproducten die Internet Protocol-adresvertaling uitvoeren hebben onbedoeld een deel van de DNS-wijzigingen ongedaan gemaakt om dit probleem aan te pakken.

In een interview na zijn Black Hat-presentatie, Kaminsky zei dat hij ondanks alle problemen nog steeds hetzelfde zou doen. "Honderden miljoenen mensen zijn veiliger," zei hij. "Het ging niet perfect, maar het ging zoveel beter dan ik had verwacht."