image

Kaminsky: Het Internet is stuk en moeilijk te maken

zondag 31 augustus 2008, 12:26 door Redactie, 7 reacties

De infrastructuur van het internet kreeg deze week weer een klap te verduren, na het DNS-lek is het nu mogelijk voor hackers om al het onversleutelde verkeer op het web af te luisteren. Net als met DNS was dit probleem ook al langer bekend. Dan Kaminsky, die de DNS-kwetsbaarheid naar buiten bracht, ziet een terugkerend probleem. "Problemen met de authenticatie en encryptie, waarvan sommige al lange tijd bekend zijn en zich in de kern van het systeem bevinden, blijven een gevaar voor de gehele internet infrastructuur vormen, door zowel de routering te corrumperen en die corrupte routes een probleem te laten zijn."

Kaminsky noemt als voorbeelden zijn eigen DNS-lek, maar ook de problemen met de Debian Non-Random Number Generator en de beveiligingslekken in SNMPv3. Hij wil ook niet zeggen welk lek het gevaarlijkst is, maar alleen duidelijk maken dat de problemen uit dezelfde basis voorkomen. Namelijk het ontbreken van een degelijke authenticatie methode. "Zwakke authenticatie leidt tot pwnage."

Sloophamer
Als het gaat om de vergelijking tussen de BGP en DNS problemen ziet hij BGP meer als een sloophamer. "Ja, je pakt het verkeer, maar de controle over welk verkeer je pakt is behoorlijk beperkt. In tegenstelling tot DNS, die je heel gericht te werk laat gaan en waar je niet van tevoren hoeft te weten welk verkeer je wilt. Het netwerk van het slachtoffer geeft je de interessante namen en je kunt meteen kiezen welke je wilt pakken. Die namen kunnen zelfs interne namen zijn, waarbij je het verkeer kunt kapen van twee hosts op hetzelfde netwerksegment, iets wat met BGP niet mogelijk is." Ook de zichtbaarheid van het te onderscheppen verkeer bij BGP is nadelig voor aanvallers. In de praktijk ziet Kaminsky dan ook meer potentie voor zijn DNS-lek.

"We hebben nu drie aanvallen in één jaar gehad die de fundamentele onbetrouwbaarheid van routering laten zien. DNS, BGP en SNMPv3 onderstrepen het feit dat het netwerken alleen als een data-transmissie systeem vertrouwd moet worden. Als je zeker wilt weten dat alles OK is, kun je niet aannemen, dan heb je cryptografische authenticatie nodig."

Oplossingen
Maar wat is nu de oplossing voor alle problemen? Terwijl Kaminsky daar het antwoord op voorbereidde, kwam een andere onderzoeker met een "1 karakter patch". De "oplossing" van Gabriel Somlo zou een aanvaller laten wachten op de Time To Live (TTL) voordat hij de aanval kan uitvoeren. Kaminsky prikt de ballon van Somlo snel door. "Er zijn zoveel manieren om TTL te omzeilen, wat in de eerste plaats nooit als beveiligingstechnologie is ontwikkeld." De 1 karakter oplossing zou zelfs voor allerlei problemen kunnen zorgen. "Maak alsjeblieft het DNS niet stuk om het te redden," laat Kaminsky weten, die verder geen eenvoudige oplossing voor het DNS-lek verwacht.

Volgende DNS patch
En dat is ook de insteek van de onderzoeker bij het bekijken van vier alternatieve oplossingen voor het DNS-probleem. De huidige patch, die eigenlijk alleen Source Port Randomization toevoegt, was alleen bedoeld om meer tijd te krijgen om over een structurele oplossing te discussiëren. Bij het oplossen van het probleem moet men op dezelfde manier te werk gaan als bij het patchen van browsers. "Net zoals het niet is toegestaan om het web te slopen, mag je ook niet het DNS slopen."

De eerste oplossing die Kaminsky aanhaalt is DNSSEC, dat onlangs nog verplicht werd gesteld door het Witte Huis. Het lost de problemen op, althans, voor de authoritative servers die eraan meedoen. De organisatorische en technische vereisten, en dan met name op het gebied van prestaties, belemmeren een snelle uitrol. "Er is werkelijk geen moeilijkere IT-taak dan het bouwen van een PKI, en het is de niet ontsnappen werkelijkheid dat DNSSEC een nieuwe identiteitsinfrastructuur ter grote van X.509 is."

Niet waterdicht, maar wel pragmatisch is de aanpak van Nominum. Bij "Layered Point Fixes" stapt men in het geval van een verkeerde TXID, voor die query over op TCP. Dit zorgt ervoor dat een aanvaller net zoveel lookups als valse responses moet doen en gebonden is aan de query limiet die Nominum voor een bepaald domein hanteert.

Een aanpak die goed bij Kaminsky ligt is de "Attack mode". In dit geval wordt de hoeveelheid pakketten met de verkeerde TXID gemonitord. Als een aanval gaande is kan men de antwoorden op bepaalde queries vertragen of beperken. Dit heeft invloed op de prestaties, maar zou alleen bij een aanval het geval zijn. Als laatste komen de "Case Sensitive DNS Responses" aan bod. Die voorkomen echter niet dat een aanvaller nog steeds namen kan kiezen die niet uit voldoende hoofdlettergevoelige karakters bestaan om entropy toe te voegen.

Voorlopig geen oplossing
Wat nu de ideale oplossing is blijft in het midden. "Ik weet niet hoe de juiste oplossing eruit ziet. Maar wat me nu duidelijk is, is wat ik in maart al wist. De echte oplossing zal niet eenvoudig zijn. Het kan DNSSEC zijn, maar misschien ook niet, maar het is in ieder geval geen 1 karakter patch."

Reacties (7)
31-08-2008, 13:13 door Anoniem
Die namen kunnen zelfs interne namen zijn, waarbij je het verkeer kunt kapen van twee hosts op hetzelfde netwerksegment, iets wat met BGP niet mogelijk is."

huh? pls explain mr kaminsky. ik zou niet weten waarom dat met bgp niet mogelijk zou zijn.
31-08-2008, 13:48 door Anoniem
De geschetste problemen in dit artikel zijn op te lossen met End-to-End End-User Encryptie. Dit voorkomt dat er een "in-the-middle attack" uitgevoerd kan worden. End-to-End End-User Encryptie kan door een End-user zelf uitgevoerd worden, maar ook als dienst door een ISP aangeboden. Een presentatie van een voorbeeld operationeel research systeem op dit gebied is te bekijken op de link http://picasaweb.google.com/freemovequantumexchange. In deze presentatie zijn ook links te vinden waar gratis goede End-to-End End-User Encryptie software gedownload kan worden.
31-08-2008, 17:48 door Anoniem
Wat ik me nu afvraag: is dit een onbedoelde lek, of een openstaande achterdeur die nu ongewild door kwaadwillenden is gevonden?
01-09-2008, 07:24 door spatieman
onversleutelt verkeer was altijd al af te luisteren, is dus niets nieuws
maar het DNS iseu, is wel behoorlijk lastig.
01-09-2008, 12:05 door Anoniem
<quote>Een aanpak die goed bij Kaminsky ligt is de "Attack mode". In dit geval wordt de hoeveelheid pakketten met de verkeerde TXID gemonitord. Als een aanval gaande is kan men de antwoorden op bepaalde queries vertragen of beperken. Dit heeft invloed op de prestaties, maar zou alleen bij een aanval het geval zijn</quote>

Dat zei ik een paar weken geleden al: het moet te detecteren zijn dat er zoveel antwoorden op een query binnenkomen met verschillende ID's. Echter had ik niet aan de IP Spoof gedacht, anders was het inderdaad makkelijk geweest.

Ik zit net eens mijn Interne DNS servers te bekijken, maar DNS.EXE opent meer dan 2500 poorten nadat de patch is geïnstalleerd.
01-09-2008, 13:11 door Anoniem
Door AnoniemDie namen kunnen zelfs interne namen zijn, waarbij je het verkeer kunt kapen van twee hosts op hetzelfde netwerksegment, iets wat met BGP niet mogelijk is."

huh? pls explain mr kaminsky. ik zou niet weten waarom dat met bgp niet mogelijk zou zijn.

BGP is een EGP (Exterior Gateway Protocol). Omdat het gaat over verkeer tussen twee hosts op hetzelfde netwerksegment, zou je kunnen denken aan een klein, switched network. Mocht het gaan over een groter netwerk dan worden lokale netwerksegmenten vaak aan elkaar gekoppeld met IGP (Interior Gateway Protocols) routing protocollen.

Het is trouwens géén lek! BGP zoekt enkel de snelste weg naar de destination. Als een hacker binnen het BGP netwerk "valse" routes zou adverteren, waarin staat dat de destination sneller te bereiken is via de router van de hacker, zal het verkeer naar de "valse" router van de hacker gestuurd worden, waardoor het voor de hacker gemakkelijk af te luisteren is, zonder dat de gebruiker er weet van heeft. Een soort van man-in-the-middle attack dus.

Ik vraag me overigens af of de "kwetsbare" netwerken gebruik maken van BGP authenticatie..
02-09-2008, 20:06 door Anoniem
Door spatiemanonversleutelt verkeer was altijd al af te luisteren, is dus niets nieuws
je snapt er ook duidelijk weer weinig van.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.