Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Wat NY Times hack voor registrars betekent

  • Door
  • Rashid Niamat
  • geplaatst op
  • 3 september 2013 08:01 uur

ccTLD_poster250-125Zoals bekend is rond 27 augustus een groep, gebruikmakend van de naam Syrian Electronic Army, erin geslaagd toegang te krijgen tot de systemen van Melbourne IT. Het resultaat van deze actie was dat de voorpagina van de NY Times er tijdelijk anders uitzag dan de lezer verwachtte.

Deze actie is niet los te zien van andere criminele internetactiviteiten waarbij toegang tot registratie systemen van registrars wordt verkregen met als doel websites over te nemen en allerlei wijzigingen aan te brengen met als doel andere content dan verwacht op of via die sites te serveren. Het type contentmanipulatie kan verschillen. Van defacing via het verspreiden van malware tot industriële spionage, als eenmaal toegang tot de systemen van registrars is verkregen, is echt veel mogelijk.

De aanval op de NY Times heeft tot zover bekend nu voor het eerst geleid tot suggesties vanuit de securityhoek die alle registrars – zeker hen die gewend zijn voor grotere of internationale organisaties te werken – op termijn kan gaan raken. Het is Patricia Titus, ex-Symantec en ex-Unisys, die als eerste aftrapte. Als antwoord op de vraag: hoe had dit voorkomen kunnen worden, constateert zij dat het aanvragen van een domeinnaam te vaak een typisch voorbeeld is van een haastklus. De opdrachtgever stelt minder eisen en niet zelden zijn het trajecten waarbij de normale controleprocedures door de haast vermeden worden.

Hoewel dit in het geval van de NY Times niet op zal gaan, heeft Titus wel een punt. Het is mede omdat een domeinnaam zo makkelijk te registeren is en tegen extreem lage kosten, dat veel inkopende partijen de bestaande risk assessments achterwege laten. Naar de mening van Titus is dat een doodzonde, mede de uiteindelijke waarde van een domeinnaam die inspanning zonder meer wel rechtvaardigt. Dat laatste zal menig registrar kunnen beamen, het registreren van een naam voor enkele euro’s kan de eerste stap zijn naar een bloeiende online business die vele miljoenen waard is. En waar zit in dat traject de controle op de professionaliteit en integriteit van de registrar? Tom Kellerman, VP bij Trend Micro, werd naar aanleiding van het NY Times voorval geciteerd met de kritische opmerking die menig bestuurder aan het denken dient te zetten: ‘Do you have someone you can call at the registrar – do you even know who to call?’

De vraag van Kellerman is zowel relevant als begrijpelijk vanuit security en BCM optiek, maar merkt de registrar daar wel eens wat van? Eisen VC’s of accountants die startups adviseren en daarbij vaak sturend zijn in het exclusief zaken doen met (ISO) gecertificeerde partijen dat ook de domeinnamen (niet de hosting, puur de namen!) die al jaren eerder zijn vastgelegd bij een bewezen betrouwbare partij worden ondergebracht? Het antwoord is, soms wel. Als langer wordt nagedacht (zie o.a. hier) over de opmerkingen van Titus en Kellerman zal de conclusie zijn dat het vreemd is dat het proces van domeinnamen registreren en beheren tot op heden zo weinig aandacht van security en financiële experts heeft gehad.

De vraag die nu nog gesteld moet worden is: ga je als registrar nu afwachten tot er lastige vragen gesteld worden of zie je dat hier een kans is ontstaan je op positieve wijze te onderscheiden van andere partijen?

Peter HJ van Eijk, 3 september 2013 11:30 am

'Kan je iemand bellen bij de registrar' lijkt me wel een erg reactieve vorm van risico management.

Een paar betere oplossingen:
- een risico analyse gebaseerd op waarde, niet op kosten
- daaruit voortvloeiend betere bewaking van het account waarmee op de registrar wordt ingelogd
- een registrar die twee factor authenticatie aanbiedt.

Hetzelfde geldt trouwens ook voor je DNS provider.

Of een eventuele certificatie van de provider hier aan bijdraagt is natuurlijk een interessante vraag.

Rashid Niamat, 3 september 2013 1:06 pm

Peter,

de reactie van Kellerman vond ik o.a. om die reden de moeite van het vermelden waard.

Wat betreft je suggesties: allemaal zeer valide. De eerste - grondslag op basis van waarde ipv kosten - staat wat mij betreft terecht op die plek.

En of certificering hier iets kan betekenen? Daarover zal op ISPam.nl vast nog wel meer worden gepubliceerd.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.