Beheer

Security
Beveiliging

Geen reden meer om internet níet beter te beveiligen

DNSSEC en andere beveiligingsmaatregelen die de Veilige E-Mail Coalitie adviseert, worden wel erg traag opgepakt.

14 april 2017

DNSSEC en andere beveiligingsmaatregelen die de Veilige E-Mail Coalitie adviseert, worden wel erg traag opgepakt.

Het riep in eerste instantie verwondering op, het persbericht waarin XS4ALL medio november vorig jaar trots meldde dat het als eerste landelijke provider DNSSEC heeft geïmplementeerd. Is dat dan nog niet geregeld, denk je dan. DNSSEC is immers al sinds 15 mei 2012 beschikbaar in het .nl-domein. Maar het was echt nieuws. ISP’s en andere betrokkenen blijken beschikbare technieken om het internet veiliger te maken, schoorvoetend door te voeren.

De Stichting Internet Domeinregistratie Nederland (SIDN), dat de internetnamen in het
.nl-domein beheert, luidde begin dit jaar de noodklok. Nog niet de helft van de Nederlandse domeinnamen was op 1 januari 2017 beveiligd met DNSSEC, constateerde ze. Dat percentage week niet noemenswaardig af van de penetratie van DNSSEC begin 2016. Er zijn in negatieve zin een paar opmerkelijke uitschieters. De eerste, door SIDN ook met zoveel woorden aan de schandpaal genageld, is de bankensector. Slechts 6 procent van de domeinnamen van banken is ondertekend met DNSSEC. Beursgenoteerde ondernemingen? 16 procent. Opmerkelijk is ook de geringe adoptie onder internetserviceproviders: 22 procent.

Zonder DNSSEC is het Domain Name System kwetsbaar. Het adressysteem van internet verzorgt de vertaling van domeinnamen naar de numerieke IP-adressen waar computers mee uit de voeten kunnen. Als gevolg van een impliciet genomen ontwerpbesluit, destijds bij het ontstaan van het Domain Name System, vindt geen controle plaats op dit ‘vertaalproces’. Als je weet hoe dat moet, kun je het feitelijke adres vervangen door een ander, vals, adres.

Dat ‘spoofen’ van het IP-adres maakt het onmogelijk om zonder aanvullende maatregelen onderscheid te maken tussen legitiem verkeer en verkeer dat met duistere bedoelingen is verzonden. Criminelen zagen al snel de mogelijkheden daarvan voor malafide opzetjes zoals phishing, man-in-the-middle-aanvallen – waarbij het internetverkeer omgeleid wordt via een afluisterstation om vertrouwelijke informatie, zoals inloggegevens buit te maken – en ook het opzetten van DDoS-aanvallen.

20 jaar verder met DNSSEC

Het besef dat je de afzender van berichten moet controleren, is niet van vandaag of gisteren. Het eerste voorstel voor ‘security extensions’ voor DNS werd al in januari 1997 gelanceerd. Het kostte daarna de nodige moeite om ook een werkbaar protocol te ontwikkelen dat ook bruikbaar was in een wereldwijd en groeiend netwerk; in 2001 was zelfs een herstart van het project nodig.
Eerste pilots met dat vernieuwde DNSSEC vonden in 2007 plaats, onder andere in Zweden. De echte uitrol begon in 2010 met de invoering van DNSSEC in het topdomein van internet.

DNSSEC voorkomt vervalsing van adressen

DNSSEC voegt een digitale handtekening toe aan adressen op internet. Een vals adres ‘spoofen’ wordt daarmee onmogelijk. Dat verklaart ook meteen het grote ongenoegen bij SIDN over de laksheid van banken bij het implementeren van SIDN. Als het ergens van belang is om manipulatie met het internet tegen te gaan, is het wel in het financiële verkeer. En dat geldt zeker nu bankklanten door het sluiten van kantoren steeds minder de keus hebben, of ze wel via internet willen bankieren, stelt de stichting.

Enig begrip is er overigens wel. “Veel partijen zijn huiverig om iets aan het DNS te doen omdat het zo belangrijk is”, zegt Marco Davids van SIDN. “Als dat niet werkt, ben je onbereikbaar. Datzelfde gebeurt met DNSSEC als je je domeinnaam op onjuiste wijze ondertekent. Zo’n fout is namelijk niet zomaar te onderscheiden van een hackerspoging om te ‘spoofen’. En al is DNSSEC zeker geen rocket science, het is wel een complexe technologie. Het risico op een foutje was in het verleden dan ook een reëel bezwaar. Tegenwoordig is dat veel minder het geval. Er is zeker in Nederland veel kennis over DNSSEC, en er zijn ook de nodige tools.”

En Nederland is dan ook nog koploper

SIDN luidde dan wel de noodklok, maar in Nederland zijn wel meer domeinnamen gesigneerd dan in de volgende vier landen op de ranglijst samen:

Domein Gesigneerd
Nederland 2.618.262
Brazilië 771.183
Tsjechië 638.970
Zweden 607.290
.com 588.136

Dat is met name te danken aan kennis­ontwikkeling door en een financiële tegemoet­koming aan ‘registrars’ van SIDN.

Qua penetratie is Nederland wel van de eerste plaats gestoten; de adoptie stokt hier de laatste tijd. Noorwegen kent de hoogste penetratie van DNSSEC, met 58 procent van de domein-
namen ondertekend. In Tsjechië is dat 51 procent, en Zweden en Nederland zijn gedeeld derde met 46 procent.

'Internet werkt natuurlijk wel'

Die traagheid bij de implementatie van maatregelen die de veiligheid van internet kunnen verhogen, is voor een belangrijk deel ook te wijten aan het feit dat veiligheid geen onderdeel uitmaakte van het basisontwerp van internet, zegt Gerben Klein Baltink, CEO van Trafecta Mobility en voorzitter van het Platform Internetstandaarden. “Omdat je maat­regelen achteraf moet toevoegen, krijg je steeds te maken met ISP’s en andere partijen die het tempo niet kunnen of willen volgen. Dat ondergraaft dan weer de effectiviteit van maatregelen, waardoor de animo om er kosten voor te maken afneemt. Bovendien: het internet werkt natuurlijk ook gewoon. Dan wil je het niet publiekelijk kapot verklaren; je wilt de gebruikers niet zo veel angst aanjagen dat ze het internet gaan mijden. En zo houd je elkaar min of meer gevangen in een situatie die niet ideaal is.”

Volgens Davids speelt ook een rol dat banken en andere grote partijen zich liever concentreren op lager hangend fruit. Op dit moment gaat er bijvoorbeeld veel aandacht naar phishing. “Maar dat is een strategie die je niet kunt blijven volhouden. Al was het maar omdat DNSSEC een belangrijke rol kan spelen bij het versterken van de beschikbare technieken om mail beter te beschermen.”

Veiliger e-mail

Dat beter beschermen van e-mail is het doel van de onlangs opgerichte Veilige E-Mail Coalitie. Die coalitie beoogt een impuls te geven aan de adoptie van een aantal andere beveiligingsmaatregelen die al geruime tijd beschikbaar zijn, maar nog schoorvoetend worden toegepast. Aanleiding was een presentatie van PostNL over zijn project Veilige e-mail-services op een bijeenkomst van het Platform Internetstandaarden. Een mooie, gestructureerde aanpak die navolging verdient, was de gedachte bij de aanwezigen. Dat leidde tot de beslissing om meer aandacht te vestigen op de noodzaak om e-mail beter te beveiligen en op basis van de ervaringen van PostNL een blauwdruk te ontwikkelen waarmee bedrijven aan de slag kunnen.

Het initiatief werd op 2 februari jl. officieel gelanceerd ter gelegenheid van de viering van het tienjarig bestaan van het Forum Standaardisatie. Dat laatste orgaan heeft de taak om de kwaliteit van IT bij overheden te verhogen door vast te stellen welke standaarden overheidsorganisaties zouden moeten gebruiken. De belangrijkste standaarden legt ze vast op de zogeheten ‘pas toe of leg uit’-lijst. Overheden mogen afwijken van de standaarden die het Forum op die lijst plaatst, maar daar moeten ze wel een goede reden voor kunnen aanvoeren. Behalve het Forum Standaardisatie schaarden zich onder meer ook het ministerie van Binnenlandse Zaken, PostNL, KPN, Betaalvereniging Nederland, DDMA, Thuiswinkel.org en VNO-NCW achter het initiatief.

Een aantal van de voorgestelde maat­regelen kreeg meteen ook de wind in de zeilen doordat het Forum Standaardisatie ze op de ‘pas toe of leg uit’-lijst plaatste. Daarmee krijgen de maatregelen die de Veilige E-mail Coalitie adviseert in ieder geval in overheidsland een krachtige impuls.

Aanschafcriterium: MANRS

Bij contractbesprekingen met internetserviceproviders doet u er goed aan te vragen wat hun plannen zijn met MANRS, Mutually Agreed Norms for Routing Security. Deelnemers verplichten zich maatregelen te nemen om het verspreiden van incorrecte routeringsinformatie over hun netwerken tegen te gaan, het gebruik van vervalste e-mailadressen te voorkomen en de validatie van routeringsinformatie te vergemakkelijken.

Op de lijst met organisaties die zich met naam en toenaam aan het initiatief verbonden hebben, prijken nu 46 namen. Vijf daarvan zijn afkomstig uit Nederland: BIT, KPN, RIPE NCC, Surfnet en TransIP.

Meer info: https://www.routingmanifesto.org/manrs/

Bereidheid groeit

Of dat ook buiten de overheid gebeurt, is natuurlijk nog de vraag. Gerben Klein Baltink, die als voorzitter van het Platform Internetstandaarden boegbeeld is van de coalitie, is zeker niet pessimistisch. Los van de deelname van een aantal in het bedrijfsleven invloedrijke partijen in de coalitie proeft hij ook bij de internetserviceproviders de bereidheid om op dit vlak stappen te zetten.

Klein Baltink is ook niet echt bang dat invoering stuk loopt op de kosten. “Bij de invoering van dit soort maatregelen maak je natuurlijk wel kosten. Je moet code toevoegen op je servers, de routing soms aanpassen … Dat kost geld, maar niet onevenredig veel. De kosten ervan zijn in relatie tot de gewenste veiligheid zeker te rechtvaardigen. Voor de ontvanger is het natuurlijk enorm belangrijk dat e-mail te vertrouwen is. En ook als afzender heb ­je er belang bij. Het is beslist niet goed voor je imago als zakenrelaties en anderen uit jouw naam kwestieuze mailtjes ontvangen.”

Overheidsingrijpen zou helpen

Het zou natuurlijk enorm helpen als de wetgever implementatie van dit soort maatregelen simpelweg verplicht stelde. Dat is voor velen die bij internet betrokken zijn, vloeken in de kerk. Ook Klein Baltink aarzelt, desgevraagd. “Als Platform Internetstandaarden willen wij in ieder geval geen politie spelen”, zegt hij. “En het is de vraag of de overheid die rol zou moeten spelen in een domein dat door private bedrijven in stand wordt gehouden. Maar het zou wel goed zijn als de wetgever zich beter rekenschap gaf van onze afhankelijkheid van de internetinfrastructuur.”

Davids is in principe zeker geen voorstander van regelgeving op dit terrein. Maar hij constateert wel dat een verplichting een belangrijke hobbel weg zou nemen. “Met name voor ISP’s is de businesscase voor dit soort maatregelen lastig te maken. Als deze maatregelen verplicht gesteld zouden worden, zou het voor alle betrokkenen een simpele beslissing zijn; dan ontstaat een ‘level playing field’ op het vlak van beveiligingsmaatregelen.”

Lees meer over Beheer OP AG Intelligence
2
Reacties
Anoniem 18 april 2017 09:21
Anoniem 14 april 2017 14:15
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.