image

SIDN geeft tips tegen DNS-kapingen

vrijdag 1 november 2013, 17:02 door Redactie, 6 reacties

Wat kunnen registrars, organisaties en bedrijven doen om te voorkomen dat aanvallers het DNS van hun website kapen, zoals eerder in oktober de Nederlandse hostingprovider Leaseweb, WhatsApp, beveiligingsbedrijf Rapid7 en verschillende anti-virusbedrijven overkwam?

Security.NL vroeg het aan de Stichting Internet Domeinregistratie Nederland (SIDN), de instantie die .nl-domeinnamen uitgeeft.

DNS

Door de DNS-kapingen kregen bezoekers van de getroffen websites een politieke boodschap voorgeschoteld. De websites waren echter niet gehackt, zo werd al gauw duidelijk. De aanvallers hadden een andere manier gevonden om bezoekers hun eigen content voor te schotelen, namelijk via het Domain Name System (DNS). Het DNS zorgt er onder andere voor dat internetgebruikers een domeinnaam zoals security.nl in hun browser kunnen intikken, in plaats van een IP-adres.

Het DNS wordt vaak door de registrar beheerd, dit is de partij waar de domeinnaam is geregistreerd. De registrar kan het DNS zelf aanpassen, of zijn klanten dit via een aparte beheerdersportaal laten doen, waarvoor een gebruikersnaam en wachtwoord nodig is. Na de DNS-kaping stelde LeaseWeb dat de aanvallers mogelijk het beheerderswachtwoord voor het domein hadden bemachtigd en met die informatie toegang tot de registrar kregen om zo de DNS-instellingen aan te passen.

In het geval van Avira zouden de aanvallers bij registrar Network Solutions een vals verzoek voor het resetten van het beheerderswachtwoord hebben ingediend, dat door de registrar werd goedgekeurd waardoor de aanvallers konden inloggen en de DNS-instellingen wijzigen.

Ook in Nederland kregen we niet zolang geleden met een grote DNS-kaping te maken. Aanvallers wisten de DNS van een hostingbedrijf aan te passen, waardoor 18.000 domeinnamen die door het hostingbedrijf werden gehost naar een website met malware wezen.

Incidenten

Volgens Marnie van Duijnhoven, woordvoerder van SIDN, komt het ongeautoriseerd aanpassen van DNS-instellingen via frauduleuze verzoeken steeds vaker voor. "Kwaadwillenden lijken deze methode te hebben ontdekt. De laatste tijd is er wereldwijd een toenemend aantal incidenten geweest. Daarbij zijn ook .nl-registrars doelwit, wat in het recente verleden tot incidenten heeft geleid."

Vanwege de recente DNS-kapingen heeft SIDN aangesloten registrars ook op de problematiek gewezen. Om zich te beschermen kunnen registrars verschillende maatregelen nemen om het risico te verkleinen. "Heel belangrijk is 'awareness', dus het erop beducht zijn dat onverlaten proberen om login-gegevens van het domeinnaamregistratiesysteem (DRS) te bemachtigen”, stelt Van Duijnhoven. "Dat doen ze bijvoorbeeld door social engineering in de vorm van 'spear phishing' aanvallen. Open dergelijke mails nooit."

Verder zijn volgens SIDN goede veiligheidsmaatregelen belangrijk, zoals:

  • Goede antivirus software, regelmatig patchen en dergelijke.
  • Wachtwoord op een 'need to know basis' (hoe minder mensen, hoe veiliger en op hoe minder plaatsen het is opgeslagen, hoe beter).
  • Wachtwoorden bij voorkeur nergens onversleuteld opslaan.
  • Scheiding aanbrengen tussen systemen die bij het domeinnaamregistratiesysteem mogen en systemen waarop bijvoorbeeld customer support mails worden afgehandeld.
  • Goede monitoring om malafide mutaties snel te ontdekken, bijvoorbeeld op name servers.
  • Met enige regelmaat het DRS-wachtwoord aanpassen en een sterk wachtwoord kiezen.
  • Zorg dat het wachtwoord voor DRS anders is dan het wachtwoord voor andere systemen van SIDN, zoals voor het besloten registrargedeelte op sidn.nl.
  • Domeinnamen die gebruikt worden als name server (bijvoorbeeld ns1.example.nl) extra goed beschermen. Dat kan bijvoorbeeld met een dienst als .nl-Control. Sommige registrars hebben ze ondergebracht in een apart registrar account, met restrictievere toegang dan het reguliere registrar account.

Reputatie

Hoewel er een belangrijke rol voor de registrars is weggelegd, kunnen ook bedrijven en organisaties die een domeinnaam registreren maatregelen nemen. "Ga in zee met een registrar die een goede reputatie heeft, ook al is dat misschien lastig te bepalen. Bescherm uw domeinnaam met .nl-Control", merkt Van Duijnhoven op. Iedere domeinnaam kan voorzien worden van deze bescherming, dus deze dienst is niet voorbehouden aan registrars.

Deze dienst zorgt ervoor dat het accorderen van een wijziging volledig bij de domeinnaamhouder (registrant) ligt. De dienst wordt echter nog niet door alle registrars aangeboden. Verder is het volgens Van Duijnhoven verstandig om de eigen domeinnamen te monitoren om zo ongewenste aanpassingen te ontdekken.

Naast deze aanbevelingen blijkt dat domeinnamen die beveiligd zijn met DNSSEC minder vaak 'slachtoffer' zijn van DNS-kapingen, omdat het veel meer tijd en moeite kost om deze ongemerkt aan te passen. Een registrar die DNSSEC ondersteunt heeft over het algemeen ook meer aandacht voor internetbeveiliging en een goede reputatie als het gaat om kennis van het DNS, laat Van Duijnhoven weten. "Een registrant doet er dus verstandig aan een registrar te zoeken die DNSSEC ondersteunt."

Reacties (6)
02-11-2013, 09:44 door Anoniem
Leuk verhaal... SIDN moet eens uitleggen hoevaak de ze in de afgelopen 15 jaar zelf het slachtoffer zijn geweest en in hoeverre NLCONTROL (sick!) en DNSSEC (sicker!) toen iets had uitgemaakt.

Key materiaal verwijderen is 1 klik werk. DNS propagatie is enige waar je mee te maken hebt..... echter bij muteren nameservers bij technical maintainer of zonefiles bij ISP heb je daar ook mee te maken.

Bovendien als SIDN ECHT oprecht zou zijn, zouden ze niet een achterlijk hoge prijs kaartje aan NLcontrol hangen.

Als ze zich eens zouden conformeren aan internationale best practices mbt domein registratie, zouden ze "domain lock" extra future kunnen voorzien die mutaties (wat voor mutaties dan ook) niet toestaat zolang lock erop staat.

ipv daarvan is SIDN te druk bezig met introduceren van zaken die hun systeem niet downwards compatible meer houd, features introduceren die rechtstreeks bedrijfsvoering van registrars raken, zoals facturatie per maand/kwartaal/jaar, die domein gebonden zijn. Om maar te zwijgen over prijs discriminatie en het investeren van miljoenen in niet aan ccTLD gerelateerde zaken. (investeren in startups....)

Voor een organisatie die hun bestaansrecht aan ISP's (met name de registrars) te danken heeft, is het een typische voorbeeld van macht corrumpeert. Hoogtijd dat vereniging van registrars ICANN verzoekt om redelegatie, teneinde het beheer van deze ccTLD onder te brengen bij een club die wel alleen maar gaat beheren in het belang van belanghebbende.
03-11-2013, 15:48 door Anoniem
Door Anoniem:Voor een organisatie die hun bestaansrecht aan ISP's (met name de registrars) te danken heeft, is het een typische voorbeeld van macht corrumpeert. Hoogtijd dat vereniging van registrars ICANN verzoekt om redelegatie, teneinde het beheer van deze ccTLD onder te brengen bij een club die wel alleen maar gaat beheren in het belang van belanghebbende.
ICANN is niet veel beter, verder "hear hear"
03-11-2013, 19:24 door Anoniem
Door Anoniem:Als ze zich eens zouden conformeren aan internationale best practices mbt domein registratie, zouden ze "domain lock" extra future kunnen voorzien die mutaties (wat voor mutaties dan ook) niet toestaat zolang lock erop staat.

Volgens mij bedoel je 'registry lock'?

Dit is (bij SIDN) een handmatig, 'out of band'-controle proces, bedoeld voor 'high profile' domeinnamen. Voor registrars met bijvoorbeeld vele duizenden domeinnamen onder een name server in een bepaald domein. Het het onder nl-control brengen van dat domein kan zorgen voor extra veiligheid (naast de andere genoemde tips). Als je de kosten van nl-control afweegt tegen de mogelijke schade als gevolg van DNS-hijacking, is het de investering van een paar tientjes per jaar waarschijnlijk wel waard.

DNSSEC kan in bepaalde gevallen ook iets bijdragen aan de veiligheid. Bijvoorbeeld in situaties waarbij de hacker al wel bij de child-zone kan, maar nog niet bij de parent (=registry in dit geval). Bovendien hebben registrars die DNSSEC snappen naar mijn idee over het algemeen hun veiligheidszaken als geheel ook beter op orde, zoals het artikel terecht constateert.

Waarom moet SIDN trouwens uitleggen hoe vaak ze zelf slachtoffer zijn geweest en waarom denk je dat ze dat niet hebben gedaan? Naar mijn idee communiceert SIDN daar namelijk wel naar behoren over. Bovendien gaat dit artikel over recente incidenten bij registrars en wat die kunnen doen, niet over wat SIDN als registry zelf al heeft gedaan en nog wil doen.

Wijziging in facturatie is, naar ik begrijp, juist op verzoek van registrars gedaan. Prijsdiscriminatie volg ik niet, .nl-domeinnamen zijn in vergelijking tot andere TLD's zeker niet de duurste. Overigens denk ik dat SIDN haar bestaansrecht voornamelijk te danken heeft aan de vele eigenaren van domeinnamen; de (lokale) internet-gemeenschap zeg maar, dus het is niet zo vreemd als ze daar wat voor terug willen doen met sponsoring van open-source projecten, BoF of projecten voor meer internetveiligheid.

Kortom, je snapt; ik ben het niet echt eens met je nogal negatieve, weinig constructieve bijdrage.
04-11-2013, 09:58 door Anoniem
Je snapt niet dat ze na het opschrijven van al die tips nog steeds niet zelf in de gaten hebben dat wachtwoorden geen
geschikt mechanisme zijn voor het beveiligen van belangrijke gegevens op internet.

Ik heb ze daar bij dat Conrad incident een vraag over gesteld maar de botterikken geven niet eens antwoord, niet
eens het antwoord dat ze daar geen antwoord op gaan geven. Het lijkt DIGINOTAR wel.

En in de handen van dat soort lui geven we .nl
Gauw opdoeken die SIDN en er een fatsoenlijk bedrijf op zetten!
04-11-2013, 17:27 door Anoniem
Door Anoniem: Je snapt niet dat ze na het opschrijven van al die tips nog steeds niet zelf in de gaten hebben dat wachtwoorden geen geschikt mechanisme zijn voor het beveiligen van belangrijke gegevens op internet.

Niet zo netjes dat SIDN je geen antwoord gegeven heeft, hoort niet. Is ook niet zoals ik ze ken.

Welke suggestie had je voor verbetering? Ik weet dat SIDN nadenkt over zaken als 'time based one time password (TOTP)' authenticatie.

Overigens ken ik geen registrars waar ze met iets anders als wachtwoorden werken, jij?

Minstens zo relevant, in dit verband.
05-11-2013, 16:25 door Conrad webcare
Door Anoniem: Ik heb ze daar bij dat Conrad incident een vraag over gesteld maar de botterikken geven niet eens antwoord, niet eens het antwoord dat ze daar geen antwoord op gaan geven. Het lijkt DIGINOTAR wel.

Hi... Vragen die aan ons gesteld worden, horen gewoon beantwoord te worden. Wanneer heb je deze gesteld? Wellicht is men er nog niet in toe gekomen. Als je je vraag ook even via webcare@conrad.nl instuurt, zorgen we dat je snel antwoord ontvangt. Bij voorbaat dank.

Met vriendelijke groet,
Martijn
Conrad webcare
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.