Twee jaar geleden ontdekte IT-beveiligingsexpert Dan Kaminsky een heel gemakkelijke manier om foute verwijzingen in de cache van DNS-servers te injecteren, een ideale manier om nietsvermoedende websurfers naar malafide sites te leiden. “Toch is de patch tegen dit lek bij 10 procent van de DNS-servers nog steeds niet aangebracht”, zei DNS-goeroe Cricket Liu, dinsdag op een IP-managementcongres in Den Haag. De patch is echter maar een lapmiddel en maakt DNS-hacks hooguit lastiger.

DNS bestaat uit spaghetticode, bevat fouten en intrinsieke onveiligheden, die weer gedeeltelijk zijn afgedekt. Vervanging door volledig nieuw opgezette software zou het beste zijn, net zoals de banken hun op spaghetticode gebaseerde betaalsystemen hebben gemoderniseerd. Maar internet heeft geen centrale leiding zoals de banken en de DNS-verwijsindex is een wereldwijd sterk gedistribueerd systeem waar bovendien politieke gevoeligheden aan kleven.

Om de mogelijkheid foute verwijzingen te injecteren in de cache van de DNS-servers in te perken, wordt het DNS de komende maanden beveiligd met DNSSEC. Volgens de planning van ICANN en VeriSign, beheerders van de kern van de verwijsindex, is de invoering van DNSSEC in de rootzone op 1 juli een feit. De rootzone is het hoogste niveau van de verwijsindex die informatie bevat over de paden naar de afzonderlijke indexen (zones) van de topleveldomeins. De beheerders van die domeinen zijn daarna aan de beurt en vervolgens de internetaanbieders en hostingproviders.

SIDN wil in augustus, een maand na de invoering van DNSSEC in de root, beginnen. “Gaat de aanpassing van de rootzone goed, dan verwachten we ook minder problemen bij ons. Komen er in juli toch obstakels naar boven, dan kunnen we de invoering nog even uitstellen”, zegt Markus Travaille, leider van het DNSSEC-project bij SIDN.

Inmiddels zijn zo’n dertien landendomeinen al voorzien van DNSSEC, net als de generieke topleveldomeinen .gov, .org en .arpa. VeriSign heeft onlangs aangekondigd dat .net in 2010 wordt beveiligd en .com in 2011. Ondanks deze activiteiten in de hoogste lagen van de DNS-hiërarchie is pas 0,005 procent van alle domeinen voorzien van deze beveiliging. Pas als de hele keten DNSSEC gebruikt, biedt het systeem de extra zekerheid.

“DNSSEC leeft niet onder hostingproviders”, zegt Hans Bennink, tot voor kort directeur van de Dutch Hosting Provider Association en nu adviseur van Bureau Terdege op onder meer het gebied van beveiliging in deze branche. “Klanten vragen er niet om en hostingbedrijven zien het zakelijk voordeel er niet van. Dat is jammer want straks gaat ‘Brussel’ de implementatie opleggen en is de kans op inspraak daarbij verkeken.”

Liu verwacht ook dat overheden eisen gaan stellen, maar alleen voor bepaalde branches. “De financiële dienstverleners krijgen regelmatig te maken met audits. Wanneer zij niet voldoen aan de eisen, raken zij hun licentie kwijt. Ik verwacht dat DNSSEC binnenkort in die eisen wordt opgenomen. Zo zal de overheid meer eisen stellen aan branches die met voor criminelen interessante informatie werken.”

Lycke Hoogeveen, woordvoerster van SIDN, zegt vergoeilijkend dat hostingbedrijven in praktijk nog niet veel kunnen doen voordat de .nl-zone is beveiligd in de zomer. Maar het is wel belangrijk dat zij zich voorbereiden.” Zo moet er nagedacht worden over het sleutelbeheer en de procedures rond het overdragen van sleutels bij het eventueel verhuizen van een domein naar een andere hostingbedrijf. “Een belangrijk probleem voor de registrars [internet- en hostingproviders] is dat maar weinig ‘leesbare’ documentatie beschikbaar is”, zegt Travaille. Bovendien vergt het implementeren van DNSSEC investeringen die pas hun vruchten afwerpen als anderen ook dezelfde stap hebben gemaakt. Dat stimuleert een afwachtende houding. Uit een peiling onder de aanwezigen op de IP-managementdag bleek meer dan de helft niet te verwachten binnen een jaar DNSSEC te gaan gebruiken.