Samen DNS gepatcht

Verscheidene bedrijven als Microsoft, Cisco, Sun en anderen brachten tegelijk een patch uit voor een zwakke plek in het Domain Name System.

Verscheidene bedrijven als Microsoft, Cisco, Sun en anderen brachten tegelijk een patch uit voor een zwakke plek in het Domain Name System.

Een onderzoeker bij IOActive, Dan Kaminsky, constateerde een zestal maanden geleden een volgens zijn zeggen nieuwe variant op een gekend probleem in het DNS – het Domain name System dat instaat voor de vertaling van namen van het type ‘www.zzzzzzz.xxxx’ in ip-adressen. In tegenstelling tot wat vaak gebeurt, publiceerde hij niet onmiddellijk deze informatie, maar bracht hij de belangrijktse producenten van hard- en software voor DNS-toepassingen hiervan op de hoogte.

In de voorbije maanden werd dan een ‘patch’ uitgewerkt, die eerder deze week door een rits vendors tegelijkertijd aan hun klanten werd aangeboden. Naar verluidt een première, gezien het groot aantal deelnemende bedrijven.

Algemeen wordt aangedrongen om deze patch zo snel mogelijk te installeren. Hackers zouden de zwakte immers kunnen misbruiken om personen niet naar de gewenste site te voeren, maar af te leiden naar een site met alle mogelijke malware en dies meer.

Cache poisoningOver de exacte aard van de zwakte en de wijze waarop een en ander precies werd gepacht, wordt momenteel nog het zwijgen toegedaan (ontdekker Kaminsky zou wel op het komende BlackHat event hierover een lezing houden). Er wordt wel gesteld dat het om een geval van ‘cache poisoning’ zou gaan, waarbij de informatie in een DNS server (bijvoorbeeld bij de ISP waar u gebruik van maakt om op het internet te gaan) die zich in het cachegeheugen bevindt fout is en verwijst naar de door de hacker voorziene site. Critici merken op dat dit geen echt nieuw probleem is, waarop Kaminsky repliceert dat de concrete zwakte dat wel is.

Omdat het een fundamenteel probleem betreft, moet dan ook op zo ruim mogelijke schaal de patch worden geïnstalleerd, waarbij servers met DNS software bovenaan de lijst moeten staan. De patch werd naar verluidt overigens zo gecreëerd dat deze zelf ook zo min mogelijk informatie over de zwakte prijsgeeft.

De ernst zou voorts moeten worden gerelativeerd omdat het uitvoeren van de aanval niet echt voor amateurs zou zijn weggelegd. Anderzijds wordt er wel verwezen naar de Chinese overheid die blijkbaar van DNS poisoning gebruik maakt om de toegang tot sites die indruisen tegen de internet-policies te blokkeren.

Interessant is overigens dat in het gebeuren zoals steeds ook een belangrijke informatieve rol werd gespeeld door het Computer Emergency Readiness Team (van het Amerikaanse ministerie van Homeland Security). België slaat op dit punt een droef figuur, aangezien er nog steeds geen algemeen CERTeam in ons land actief is (wel een meer gefocuste CERT voor Belnet).