Uitvinder DNS: "Tijd voor nieuwe bescherming"
Politiek staat encryptie in de weg
15 augustus 2008 | Rowald Pruyn
Paul Mockapetris, uitvinder van de Domain Name System (DNS)-structuur, vraagt internetproviders om zijn werk te beschermen tegen de dreigingen van de nieuwe tijd.
In gesprek met onze collega's van ZDNet UK zei Mockapetris vorige week dat hij een "fundamentele fout" heeft gemaakt, toen hij zijn systeem voor het omzetten van IP-adressen in websitedomeinen in 1983 aan de wereld presenteerde. In plaats van beveiliging in te bouwen, concentreerden de auteur en zijn team zich er meer op om DNS van de grond te krijgen. "De tijden zijn veranderd. Oorspronkelijk was beveiliging niet ingebouwd. Alles was toen simpeler."
Gevaarlijke achterdeur
Dan Kaminsky werd vorige maand een plotseling een beroemdheid op beveiligingsgebied, toen hij een gevaarlijke achterdeur onthulde in het DNS-systeem van Mockapetris. Een vliegende brigade van meer dan tachtig softwarebedrijven bracht patches uit ter bescherming tegen de mogelijke aanval die kon voortkomen uit zijn vondst.
Volgens Mockapetris is Kaminsky’s ontdekking slechts een snellere variant van een aanval die al veel langer bekend is. Oorspronkelijk kreeg elk domein een unieke transactie-ID, zodat aanvallers moesten gokken als ze hun besmette IP-adressen aan dat domein wilden koppelen. Op die manier duurde het te lang voordat de aanvaller bij de goede gok uitkwam.
Handige criminelen
De tijd haalde deze beveiligingstactiek in. Handige criminelen konden de DNS-servers met licht wisselende opvraagverzoeken bestoken en net zo lang doorgaan tot ze bij toeval op de sleutel stuitten. Met de ID in handen is het mogelijk om bezoekers die het gekraakte domein bezoeken, om te leiden naar een willekeurige website, waardoor vergiftiging optreedt en de server voortaan alle verzoeken naar dit adres doorverwijst.
Uitstel van executie
De massale reparatieronde die voortkwam uit Kaminsky’s ontdekking, dicht deze kwetsbaarheid af. Maar volgens Mockapetris is het slechts uitstel van executie. Veel softwaremakers maken met hun patch computers opnieuw veilig, door de bronpoort waarlangs websites worden opgevraagd, willekeurig te maken. "Dat is nog steeds het spelen van Russische roulette", zegt de uitvinder. "We moeten een manier vinden om de kogel uit het pistool te halen."
Lees verder op ZDNet »
Internetproviders bezwijken onder DDoS-aanvallen
Kwart van de DNS-servers niet gepatcht
Apples DNS-patch vergeet eindgebruiker
Apple plakt eindelijk verband over DNS-lek
SIDN: nog veel servers met ongepatchte DNS-software
Wachten op eerste aanvallen via DNS-lek
ZoneAlarm krijgt update na Microsoft-patch
Tachtig softwaremakers lossen DNS-patch
Externe links »
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
