Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

SIDN: 1 op de 3 DNS-servers nog niet gepatcht

  • Door
  • Arnout Veenman
  • geplaatst op
  • 31 juli 2008 08:08 uur

Volgens SIDN is maar liefst 1 op de 3 DNS-servers nog niet gepatcht tegen het DNS-lek en daarmee kwetsbaar voor ondermeer cache poisoning. Die conclusie trekt SIDN op basis van analyse van data van haar eigen nameservers, waarmee mag worden aangenomen dat de conclusie zeer accuraat is.

Deze conclusie van SIDN onderschrijft het eerdere bericht op ISPam.nl dat access ISP’s traag zijn met het patchen van hun DNS-servers. Ookal zullen .nl-domeinnamen het meeste vanuit Nederland via Nederlandse ISP’s worden geraadpleegd hebben de statistieken van SIDN natuurlijk niet alleen betrekking op Nederlandse DNS-servers.

SIDN heeft aangekondigd enkele grote ISP’s en telco’s zelf te benaderen om ze op de hoogte te stellen van het feit dat hun DNS-servers nog niet gepatcht zijn. Daarnaast werkt SIDN samen met GOVCERT.NL, het Computer Emergency Response Team van de Nederlandse overheid, om te bepalen of er overheidsinstanties of andere belangrijke instanties met een publieke of vitale taak nog kwetsbaar zijn. ZIe ook het factsheet van GOVCERT.NL “De Kaminsky Code” (PDF), vernoemd naar de ontdekker van het DNS-lek.

Voor de ISP’s en telco’s die nog steeds niet gepatcht hebben, nog het volgende: PATCHEN NU!

Update 12:30 uur: Zie voor verdere informatie de reactie van SIDN in de comments!

Marco, 31 juli 2008 12:05 pm

Wat aanvullende informatie:

SIDN heeft alleen gekeken naar Nederlandse resolvers. Daarvan is 1/3 nog kwetsbaar, omdat ze onvoldoende 'source-port randomization' (SPR) hebben. Dat kan ook het geval zijn bij gepatchte resolvers, bijvoorbeeld als ze achter een firewall zitten die de SPR weer ongedaan maakt.

De Nederlandse situatie is beter dan die van een aantal andere landen, maar ongeveer gelijk aan de situatie wereldwijd:

https://www.dns-oarc.net/files/sfaber/ephemerals.jpg

De 33% kwetsbare resolvers zijn gezamenlijk verantwoordelijk voor 18% van de DNS-queries. De overige queries komen van 'goede' resolvers.

Patchen is beslist niet alleen een zaak van ISP's, maar van iedereen met een internet-aansluiting en een eigen resolver (die soms goed verstopt kan zitten, in firewalls, mailservers en wat dies meer zij). Sterker nog, de meeste ISP's zijn heel verantwoordelijk bezig op dit vlak (een uitzondering daargelaten) en het probleem zit nu meer bij systeembeheerders in het MKB en particulieren met een eigen resolver.

En over het raadplegen van .nl vanuit Nederland in vergelijking tot het buitenland: tegenover elke Nederlandse query staan 17 queries uit het buitenland - dus je kan stellen dat .nl domeinen veel belangstelling genieten uit de rest van de wereld.

Toon, 31 juli 2008 2:26 pm

Als SIDN nou gewoon de betrokken providers mailt.
Wellicht zijn er een heleboel die denken dat ze safe zijn, maar het dus niet zijn?

SIDN hamert op de juistheid van DNS met hun DNS-checks, dan mogen ze dit ook wel als service aanbieden aan de provider en uiteindelijk de consument!

Antoin, 31 juli 2008 3:07 pm

Zoals Marco al aangeeft, het probleem zit niet alleen bij resolvers van ISP's. 1/3 van de Nederlandse resolvers, dan heb je het over 5000+ servers. Het uitzoeken welk contactadres bij welk IP adres hoort duurt al weken.

Alle ISP's die bij Govcert zijn aangesloten hebben een melding gekregen dat ze bij SIDN kunnen opvragen welke nameservers uit hun netwerk nog kwetsbaar zijn. Daar wordt gretig gebruik van gemaakt.

ISP's die niet zijn aangesloten bij Govcert of die geen gebruik maken van de service, en die gezien het aantal queries en entropie een een risico vormen neemt SIDN zelf contact mee op.

Dus ja, die service wordt aangeboden door SIDN.

Maar SIDN kan echt niet alle MKB bedrijfjes met een MS Exchange server en DNS server die 20 queries per dag doen gaan contacteren om ze persoonlijke ondersteuning te bieden hoe ze hun firewall moeten aanpassen. Vandaar het persbericht met daarin een link hoe je zelf kunt controleren of je nog kwetsbaar bent of niet.

Johan, 31 juli 2008 6:32 pm

Waar kan ik de link vnden of mijn dns servers op mijn coloserver nog een patch moeten hebben?
Yum update heeft een update van named / bind gehad.
(Is een directadmin server)

Mark, 31 juli 2008 7:49 pm

DNS servers die bijvoorbeeld enkel vanaf 1 systeem (bijv. localhost) werken zijn relatief veilig en lopen relatief weinig risico. Het risico zou al beperkt zijn indien het aantal systemen dat gebruik kan/mag maken van de naamserver zeer sterk beperkt is volgens het PDF document waar naar gelinkt wordt.

In hoeverre is hier rekening mee gehouden binnen de stelling dat 1 op de 3 naamservers niet gepatched is EN gevaar van poisoning aanwezig is.

Marco, 1 augustus 2008 1:40 am

Mark,

De hack van Kaminsky wordt moeilijker naarmate een resolver meer entropie heeft. Entropie wil zeggen dat er meer variatie zit in Transaction-ID en de source-port vanwaar de resolver zijn query uitstuurt. Dit zijn truukjes, of lapmiddelen zo je wilt, om het kwaadwillenden moeilijker te maken om een vals antwoord terug te geven aan de resolver. Zonder die truukjes is een resolver binnen seconden om de tuin te leiden. Je denkt dan dat je naar www.postbank.nl gaat, maar komt dan in feite bij een fake-website uit.

Natuurlijk zijn de grootste resolvers (bij ISP's met veel klanten) een gewild doelwit, maar dat kunnen een klein advocatenkantoor, een school of een ministerie ook zijn. Ligt er maar net aan wat de bedoelingen van de hacker zijn. Iedereen zou dus zijn zaken op orde moeten hebben (de grotere jongens als eerste natuurlijk).

Nog eenmaal de getallen dan: het 1/3 deel van de resolvers dat nog extra kwetsbaar is (omdat ze veel te weinig entropie te zien geven), zijn gezamenlijk verantwoordelijk voor 18% van het Nederlandse DNS-verkeer. Dus ruwweg 1 op de 5 queries komt nog van een resolver die straks makkelijk 'om de tuin te leiden is'.

Mark, 1 augustus 2008 2:05 am

Marco,

Voor zover ik na kan gaan moet de aanvaller dan wel de mogelijkheid hebben om zowel de aanvraag naar de resolver te sturen als het gewenste antwoord. Dit kan dus betekenen dat er reeds een systeem gehacked moet zijn dat de aanvraag kan versturen en de reactie kan versturen.

Hoe groot wordt die kans als bijvoorbeeld enkel 1 of 2 systemen die resolver gebruiken/mogen gebruiken (IP basis, binnen hetzelfde subnet bijvoorbeeld) vraag ik mij dan af? In dergelijke gevallen is het aanpassen van een bestand op de computer misschien wel net zo efficient. Helaas worden dit soort beveiligingen in veel gevallen genegeerd bij het bepalen van het risico of er gebruik van gemaakt kan/zal worden.

Marco, 1 augustus 2008 2:36 am

Mark,

Als de aanvaller in staat is om een 'gespoofde' query naar de 'afgeschermde' resolver te sturen, dus met als afzenderadres een IP-adres van een van de twee systemen die de resolver mogen gebruiken, is hij met een beetje geluk al 'in business'.

Hackers zijn creatief. Neem bijvoorbeeld het volgende scenario:

- aanvaller stuurt email naar [email protected] waar een autoreply systeem draait.
- autoreply-systeem stuurt antwoord terug maar moet daarvoor een DNS lookup doen. Dit mag, omdat dit systeem 1 van de 2 systemen is die de 'afgeschermde' resolver mogen gebruiken.

En voila, de aanvaller is weer 'in business'...

Laat je fantasie de vrije loop. Je zult versteld staan hoe vaak DNS gebuikt wordt en hoeveel manieren er dus zijn om door ogenschijnlijk degelijke beveiligingen heen te breken. Tuurlijk, het laagsthangende fruit wordt als eerste geplukt - dat moge duidelijk zijn. Maar waan je niet te snel veilig.

Leestip:
http://www.waarschuwingsdienst.nl/render.html?it=1829

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.