Kaminsky: Het Internet is stuk en moeilijk te maken
De infrastructuur van het internet kreeg deze week weer een klap te verduren, na het DNS-lek is het nu mogelijk voor hackers om al het onversleutelde verkeer op het web af te luisteren. Net als met DNS was dit probleem ook al langer bekend. Dan Kaminsky, die de DNS-kwetsbaarheid naar buiten bracht, ziet een terugkerend probleem. "Problemen met de authenticatie en encryptie, waarvan sommige al lange tijd bekend zijn en zich in de kern van het systeem bevinden, blijven een gevaar voor de gehele internet infrastructuur vormen, door zowel de routering te corrumperen en die corrupte routes een probleem te laten zijn."
Kaminsky noemt als voorbeelden zijn eigen DNS-lek, maar ook de problemen met de Debian Non-Random Number Generator en de beveiligingslekken in SNMPv3. Hij wil ook niet zeggen welk lek het gevaarlijkst is, maar alleen duidelijk maken dat de problemen uit dezelfde basis voorkomen. Namelijk het ontbreken van een degelijke authenticatie methode. "Zwakke authenticatie leidt tot pwnage."
Sloophamer
Als het gaat om de vergelijking tussen de BGP en DNS problemen ziet hij BGP meer als een sloophamer. "Ja, je pakt het verkeer, maar de controle over welk verkeer je pakt is behoorlijk beperkt. In tegenstelling tot DNS, die je heel gericht te werk laat gaan en waar je niet van tevoren hoeft te weten welk verkeer je wilt. Het netwerk van het slachtoffer geeft je de interessante namen en je kunt meteen kiezen welke je wilt pakken. Die namen kunnen zelfs interne namen zijn, waarbij je het verkeer kunt kapen van twee hosts op hetzelfde netwerksegment, iets wat met BGP niet mogelijk is." Ook de zichtbaarheid van het te onderscheppen verkeer bij BGP is nadelig voor aanvallers. In de praktijk ziet Kaminsky dan ook meer potentie voor zijn DNS-lek.
"We hebben nu drie aanvallen in één jaar gehad die de fundamentele onbetrouwbaarheid van routering laten zien. DNS, BGP en SNMPv3 onderstrepen het feit dat het netwerken alleen als een data-transmissie systeem vertrouwd moet worden. Als je zeker wilt weten dat alles OK is, kun je niet aannemen, dan heb je cryptografische authenticatie nodig."
Oplossingen
Maar wat is nu de oplossing voor alle problemen? Terwijl Kaminsky daar het antwoord op voorbereidde, kwam een andere onderzoeker met een "1 karakter patch". De "oplossing" van Gabriel Somlo zou een aanvaller laten wachten op de Time To Live (TTL) voordat hij de aanval kan uitvoeren. Kaminsky prikt de ballon van Somlo snel door. "Er zijn zoveel manieren om TTL te omzeilen, wat in de eerste plaats nooit als beveiligingstechnologie is ontwikkeld." De 1 karakter oplossing zou zelfs voor allerlei problemen kunnen zorgen. "Maak alsjeblieft het DNS niet stuk om het te redden," laat Kaminsky weten, die verder geen eenvoudige oplossing voor het DNS-lek verwacht.
Volgende DNS patch
En dat is ook de insteek van de onderzoeker bij het bekijken van vier alternatieve oplossingen voor het DNS-probleem. De huidige patch, die eigenlijk alleen Source Port Randomization toevoegt, was alleen bedoeld om meer tijd te krijgen om over een structurele oplossing te discussiëren. Bij het oplossen van het probleem moet men op dezelfde manier te werk gaan als bij het patchen van browsers. "Net zoals het niet is toegestaan om het web te slopen, mag je ook niet het DNS slopen."
De eerste oplossing die Kaminsky aanhaalt is DNSSEC, dat onlangs nog verplicht werd gesteld door het Witte Huis. Het lost de problemen op, althans, voor de authoritative servers die eraan meedoen. De organisatorische en technische vereisten, en dan met name op het gebied van prestaties, belemmeren een snelle uitrol. "Er is werkelijk geen moeilijkere IT-taak dan het bouwen van een PKI, en het is de niet ontsnappen werkelijkheid dat DNSSEC een nieuwe identiteitsinfrastructuur ter grote van X.509 is."
Niet waterdicht, maar wel pragmatisch is de aanpak van Nominum. Bij "Layered Point Fixes" stapt men in het geval van een verkeerde TXID, voor die query over op TCP. Dit zorgt ervoor dat een aanvaller net zoveel lookups als valse responses moet doen en gebonden is aan de query limiet die Nominum voor een bepaald domein hanteert.
Een aanpak die goed bij Kaminsky ligt is de "Attack mode". In dit geval wordt de hoeveelheid pakketten met de verkeerde TXID gemonitord. Als een aanval gaande is kan men de antwoorden op bepaalde queries vertragen of beperken. Dit heeft invloed op de prestaties, maar zou alleen bij een aanval het geval zijn. Als laatste komen de "Case Sensitive DNS Responses" aan bod. Die voorkomen echter niet dat een aanvaller nog steeds namen kan kiezen die niet uit voldoende hoofdlettergevoelige karakters bestaan om entropy toe te voegen.
Voorlopig geen oplossing
Wat nu de ideale oplossing is blijft in het midden. "Ik weet niet hoe de juiste oplossing eruit ziet. Maar wat me nu duidelijk is, is wat ik in maart al wist. De echte oplossing zal niet eenvoudig zijn. Het kan DNSSEC zijn, maar misschien ook niet, maar het is in ieder geval geen 1 karakter patch."
huh? pls explain mr kaminsky. ik zou niet weten waarom dat met bgp niet mogelijk zou zijn.
maar het DNS iseu, is wel behoorlijk lastig.
Dat zei ik een paar weken geleden al: het moet te detecteren zijn dat er zoveel antwoorden op een query binnenkomen met verschillende ID's. Echter had ik niet aan de IP Spoof gedacht, anders was het inderdaad makkelijk geweest.
Ik zit net eens mijn Interne DNS servers te bekijken, maar DNS.EXE opent meer dan 2500 poorten nadat de patch is geïnstalleerd.
huh? pls explain mr kaminsky. ik zou niet weten waarom dat met bgp niet mogelijk zou zijn.
BGP is een EGP (Exterior Gateway Protocol). Omdat het gaat over verkeer tussen twee hosts op hetzelfde netwerksegment, zou je kunnen denken aan een klein, switched network. Mocht het gaan over een groter netwerk dan worden lokale netwerksegmenten vaak aan elkaar gekoppeld met IGP (Interior Gateway Protocols) routing protocollen.
Het is trouwens géén lek! BGP zoekt enkel de snelste weg naar de destination. Als een hacker binnen het BGP netwerk "valse" routes zou adverteren, waarin staat dat de destination sneller te bereiken is via de router van de hacker, zal het verkeer naar de "valse" router van de hacker gestuurd worden, waardoor het voor de hacker gemakkelijk af te luisteren is, zonder dat de gebruiker er weet van heeft. Een soort van man-in-the-middle attack dus.
Ik vraag me overigens af of de "kwetsbare" netwerken gebruik maken van BGP authenticatie..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!