De infrastructuur van het internet kreeg deze week weer een klap te verduren, na het DNS-lek is het nu mogelijk voor hackers om al het onversleutelde verkeer op het web af te luisteren. Net als met DNS was dit probleem ook al langer bekend. Dan Kaminsky, die de DNS-kwetsbaarheid naar buiten bracht, ziet een terugkerend probleem. "Problemen met de authenticatie en encryptie, waarvan sommige al lange tijd bekend zijn en zich in de kern van het systeem bevinden, blijven een gevaar voor de gehele internet infrastructuur vormen, door zowel de routering te corrumperen en die corrupte routes een probleem te laten zijn."

Kaminsky noemt als voorbeelden zijn eigen DNS-lek, maar ook de problemen met de Debian Non-Random Number Generator en de beveiligingslekken in SNMPv3. Hij wil ook niet zeggen welk lek het gevaarlijkst is, maar alleen duidelijk maken dat de problemen uit dezelfde basis voorkomen. Namelijk het ontbreken van een degelijke authenticatie methode. "Zwakke authenticatie leidt tot pwnage."

Sloophamer
Als het gaat om de vergelijking tussen de BGP en DNS problemen ziet hij BGP meer als een sloophamer. "Ja, je pakt het verkeer, maar de controle over welk verkeer je pakt is behoorlijk beperkt. In tegenstelling tot DNS, die je heel gericht te werk laat gaan en waar je niet van tevoren hoeft te weten welk verkeer je wilt. Het netwerk van het slachtoffer geeft je de interessante namen en je kunt meteen kiezen welke je wilt pakken. Die namen kunnen zelfs interne namen zijn, waarbij je het verkeer kunt kapen van twee hosts op hetzelfde netwerksegment, iets wat met BGP niet mogelijk is." Ook de zichtbaarheid van het te onderscheppen verkeer bij BGP is nadelig voor aanvallers. In de praktijk ziet Kaminsky dan ook meer potentie voor zijn DNS-lek.

"We hebben nu drie aanvallen in één jaar gehad die de fundamentele onbetrouwbaarheid van routering laten zien. DNS, BGP en SNMPv3 onderstrepen het feit dat het netwerken alleen als een data-transmissie systeem vertrouwd moet worden. Als je zeker wilt weten dat alles OK is, kun je niet aannemen, dan heb je cryptografische authenticatie nodig."

Oplossingen
Maar wat is nu de oplossing voor alle problemen? Terwijl Kaminsky daar het antwoord op voorbereidde, kwam een andere onderzoeker met een "1 karakter patch". De "oplossing" van Gabriel Somlo zou een aanvaller laten wachten op de Time To Live (TTL) voordat hij de aanval kan uitvoeren. Kaminsky prikt de ballon van Somlo snel door. "Er zijn zoveel manieren om TTL te omzeilen, wat in de eerste plaats nooit als beveiligingstechnologie is ontwikkeld." De 1 karakter oplossing zou zelfs voor allerlei problemen kunnen zorgen. "Maak alsjeblieft het DNS niet stuk om het te redden," laat Kaminsky weten, die verder geen eenvoudige oplossing voor het DNS-lek verwacht.

Volgende DNS patch
En dat is ook de insteek van de onderzoeker bij het bekijken van vier alternatieve oplossingen voor het DNS-probleem. De huidige patch, die eigenlijk alleen Source Port Randomization toevoegt, was alleen bedoeld om meer tijd te krijgen om over een structurele oplossing te discussiëren. Bij het oplossen van het probleem moet men op dezelfde manier te werk gaan als bij het patchen van browsers. "Net zoals het niet is toegestaan om het web te slopen, mag je ook niet het DNS slopen."

De eerste oplossing die Kaminsky aanhaalt is DNSSEC, dat onlangs nog verplicht werd gesteld door het Witte Huis. Het lost de problemen op, althans, voor de authoritative servers die eraan meedoen. De organisatorische en technische vereisten, en dan met name op het gebied van prestaties, belemmeren een snelle uitrol. "Er is werkelijk geen moeilijkere IT-taak dan het bouwen van een PKI, en het is de niet ontsnappen werkelijkheid dat DNSSEC een nieuwe identiteitsinfrastructuur ter grote van X.509 is."

Niet waterdicht, maar wel pragmatisch is de aanpak van Nominum. Bij "Layered Point Fixes" stapt men in het geval van een verkeerde TXID, voor die query over op TCP. Dit zorgt ervoor dat een aanvaller net zoveel lookups als valse responses moet doen en gebonden is aan de query limiet die Nominum voor een bepaald domein hanteert.

Een aanpak die goed bij Kaminsky ligt is de "Attack mode". In dit geval wordt de hoeveelheid pakketten met de verkeerde TXID gemonitord. Als een aanval gaande is kan men de antwoorden op bepaalde queries vertragen of beperken. Dit heeft invloed op de prestaties, maar zou alleen bij een aanval het geval zijn. Als laatste komen de "Case Sensitive DNS Responses" aan bod. Die voorkomen echter niet dat een aanvaller nog steeds namen kan kiezen die niet uit voldoende hoofdlettergevoelige karakters bestaan om entropy toe te voegen.

Voorlopig geen oplossing
Wat nu de ideale oplossing is blijft in het midden. "Ik weet niet hoe de juiste oplossing eruit ziet. Maar wat me nu duidelijk is, is wat ik in maart al wist. De echte oplossing zal niet eenvoudig zijn. Het kan DNSSEC zijn, maar misschien ook niet, maar het is in ieder geval geen 1 karakter patch."