Wat kunnen registrars, organisaties en bedrijven doen om te voorkomen dat aanvallers het DNS van hun website kapen, zoals eerder in oktober de Nederlandse hostingprovider Leaseweb, WhatsApp, beveiligingsbedrijf Rapid7 en verschillende anti-virusbedrijven overkwam?
Security.NL vroeg het aan de Stichting Internet Domeinregistratie Nederland (SIDN), de instantie die .nl-domeinnamen uitgeeft.
Door de DNS-kapingen kregen bezoekers van de getroffen websites een politieke boodschap voorgeschoteld. De websites waren echter niet gehackt, zo werd al gauw duidelijk. De aanvallers hadden een andere manier gevonden om bezoekers hun eigen content voor te schotelen, namelijk via het Domain Name System (DNS). Het DNS zorgt er onder andere voor dat internetgebruikers een domeinnaam zoals security.nl in hun browser kunnen intikken, in plaats van een IP-adres.
Het DNS wordt vaak door de registrar beheerd, dit is de partij waar de domeinnaam is geregistreerd. De registrar kan het DNS zelf aanpassen, of zijn klanten dit via een aparte beheerdersportaal laten doen, waarvoor een gebruikersnaam en wachtwoord nodig is. Na de DNS-kaping stelde LeaseWeb dat de aanvallers mogelijk het beheerderswachtwoord voor het domein hadden bemachtigd en met die informatie toegang tot de registrar kregen om zo de DNS-instellingen aan te passen.
In het geval van Avira zouden de aanvallers bij registrar Network Solutions een vals verzoek voor het resetten van het beheerderswachtwoord hebben ingediend, dat door de registrar werd goedgekeurd waardoor de aanvallers konden inloggen en de DNS-instellingen wijzigen.
Ook in Nederland kregen we niet zolang geleden met een grote DNS-kaping te maken. Aanvallers wisten de DNS van een hostingbedrijf aan te passen, waardoor 18.000 domeinnamen die door het hostingbedrijf werden gehost naar een website met malware wezen.
Volgens Marnie van Duijnhoven, woordvoerder van SIDN, komt het ongeautoriseerd aanpassen van DNS-instellingen via frauduleuze verzoeken steeds vaker voor. "Kwaadwillenden lijken deze methode te hebben ontdekt. De laatste tijd is er wereldwijd een toenemend aantal incidenten geweest. Daarbij zijn ook .nl-registrars doelwit, wat in het recente verleden tot incidenten heeft geleid."
Vanwege de recente DNS-kapingen heeft SIDN aangesloten registrars ook op de problematiek gewezen. Om zich te beschermen kunnen registrars verschillende maatregelen nemen om het risico te verkleinen. "Heel belangrijk is 'awareness', dus het erop beducht zijn dat onverlaten proberen om login-gegevens van het domeinnaamregistratiesysteem (DRS) te bemachtigen”, stelt Van Duijnhoven. "Dat doen ze bijvoorbeeld door social engineering in de vorm van 'spear phishing' aanvallen. Open dergelijke mails nooit."
Verder zijn volgens SIDN goede veiligheidsmaatregelen belangrijk, zoals:
Hoewel er een belangrijke rol voor de registrars is weggelegd, kunnen ook bedrijven en organisaties die een domeinnaam registreren maatregelen nemen. "Ga in zee met een registrar die een goede reputatie heeft, ook al is dat misschien lastig te bepalen. Bescherm uw domeinnaam met .nl-Control", merkt Van Duijnhoven op. Iedere domeinnaam kan voorzien worden van deze bescherming, dus deze dienst is niet voorbehouden aan registrars.
Deze dienst zorgt ervoor dat het accorderen van een wijziging volledig bij de domeinnaamhouder (registrant) ligt. De dienst wordt echter nog niet door alle registrars aangeboden. Verder is het volgens Van Duijnhoven verstandig om de eigen domeinnamen te monitoren om zo ongewenste aanpassingen te ontdekken.
Naast deze aanbevelingen blijkt dat domeinnamen die beveiligd zijn met DNSSEC minder vaak 'slachtoffer' zijn van DNS-kapingen, omdat het veel meer tijd en moeite kost om deze ongemerkt aan te passen. Een registrar die DNSSEC ondersteunt heeft over het algemeen ook meer aandacht voor internetbeveiliging en een goede reputatie als het gaat om kennis van het DNS, laat Van Duijnhoven weten. "Een registrant doet er dus verstandig aan een registrar te zoeken die DNSSEC ondersteunt."
Deze posting is gelocked. Reageren is niet meer mogelijk.