Beheer

Security

Adresboek nog steeds achilleshiel internet

8 februari 2013

Beveiligingsexpert Dan Kaminsky ontdekte al in 2008 een groot lek in het Domain Name System, het internetadresboek waarin opgezocht wordt wat de IP-adressen zijn van de computers waarop de website draait die een surfer wil bezoeken. Als gevolg van dat lek kunnen hackers cachepoisoning-aanvallen uitvoeren. Daarbij wordt verkeer omgeleid van een betrouwbare naar een kwaadaardige website. In de URL is dat niet te zien.

Dat probleem kan ook met patches worden verholpen maar experts zijn vrijwel unaniem in hun oordeel dat de toepassing van DNSSEC het beste tegengif is. DNSSEC is een cryptografische beveiliging van het DNS-protocol. Deze beveiligingsmethode voorziet een webadres van een digitale handtekening (signature) als deze wordt opgevraagd. Deze handtekening kan worden geverifieerd. Dat gebeurt door middel van een antwoord van de DNS-server dat ook is ondertekend. Deze handtekening heeft een beperkte geldigheidsduur. Het injecteren van valse domeinnaamverwijzingen wordt hierdoor aanzienlijk moeilijker. Dat biedt de bezoeker van het betreffende domein zekerheid dat hij ook werkelijk op de echte website zit en niet op een kwaadaardige kopie.

VS loopt achter

Het Amerikaanse bedrijfsleven past DNSSEC echter vrijwel niet toe. Uit onderzoek van de Amerikaanse DNS-specialist Secure64 onder de 100 grootste e-commercebedrijven en onder 384 wereldwijd opererende financiële dienstverleners, waaronder een aantal zeer grote banken, blijkt dat zij DNSSEC vrijwel niet gebruiken.

Volgens het Amerikaanse NIST (National Institute of Standards and Technology) werkt maar 1 procent van de bedrijven in de VS met websites die volledig gebruik maken van DNSSEC. Gerenommeerde bedrijven als Bank of America, eBay, Disney, Apple, Cisco, Google, IBM en Symantec passen DNSSEC volgens het NIST niet toe. Maar ook topuniversiteiten als Harvard, Yale en Princeton hebben het nog niet uitgerold.

Van de Amerikaanse federale overheid werkt driekwart er wel mee. Maar voor de betreffende organisaties is dat ook sinds 2009 wettelijk verplicht.

Nederland doet het goed

Nederland doet het zeker vergeleken met andere landen goed met het toepassen van DNSSEC. In mei vorig jaar is DNSSEC live gezet in het .nl-domein. Inmiddels zijn bijna 1,4 miljoen .nl-domeinnamen voorzien van het protocol. In totaal telt Nederland ruim 5 miljoen .nl-domeinnamen. Voor Nederlandse overheids­organisaties is toepassing van DNSSEC sinds juni vorig jaar verplicht. Het College Standaardisatie van de overheid plaatste de standaard toen op de zogeheten ‘pas toe of leg uit’-lijst. Dat is een lijst met verplichte open standaarden voor de publieke sector. De standaard moet gebruikt worden tenzij men goede redenen kan aanvoeren om het niet te doen.

Geen controle aan client-zijde

Maar de .nl-domeinnamen mogen dan gesigneerd zijn, waardoor het IP-adres in het DNS-antwoord niet kan worden vervalst – de digitale handtekening moet wel gecontroleerd worden aan de client-zijde, anders heb je er nog niet zo veel aan. Marco Davids, technisch adviseur bij SIDN: “De beveiliging via DNSSEC bestaat uit een keten. De gebruiker moet ermee werken en de site die hij bezoekt ook. De digitale handtekening die jij meestuurt moet wel gecontroleerd worden aan de andere kant, dat is de validatie ervan. Gebeurt dat niet, dan werkt DNSSEC niet optimaal. In Nederland zijn nu dus al heel veel domeinen gesigned, maar heel veel clients valideren nog niet en maken van dat ‘gesignde’ dus geen gebruik. Eindgebruikers zelf hebben hier slechts beperkte invloed op. Dat valideren is toch voornamelijk iets wat ISP’s moeten aanzetten in hun resolvers. Wellicht verandert dat in de toekomst, wanneer validatie meer naar de clients komt.”

Geen rocket science

Dat DNSSEC in de VS nog zo weinig gebruikt wordt, komt volgens Davids ook doordat er nog maar weinig naar wordt gevraagd. “En als er geen vraag is, gebeurt het niet. Toen Dan Kaminsky duidelijk maakte hoe gevaarlijk DNS was zonder beveiliging, is de Amerikaanse overheid er wel snel mee aan de slag gegaan en heeft het verplicht gesteld voor het overheids-topdomein .gov. Maar op het .com-domein heeft de overheid geen grip.”

Dat het complex zou zijn om DNSSEC uit te rollen is nu geen geldig argument meer, vindt Davids. “Het was een paar jaar terug complex, maar de software ervoor en de kennis erover zijn enorm verbeterd. Het is niet heel makkelijk, maar het is ook geen rocket science.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!