Nieuws
image

Onderzoek: kwart Europese overheidssites gebruikt DNSSEC

maandag 10 augustus 2015, 15:24 door Redactie, 4 reacties

Veel Europese overheden maken voor hun websites geen gebruik van DNSSEC, waardoor aanvallers verschillende soorten aanvallen kunnen uitvoeren, maar Nederland is een positieve uitzondering. Dat blijkt uit onderzoek van de Belgische beveiligingsanalist Koen van Impe.

DNSSEC is een extensie voor het Domain Name System (DNS) en moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. DNS is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Veel internetgebruikers maken gebruik van de DNS-servers van hun internetprovider.

Een bekende DNS-aanval is 'DNS cache poisoning'. Hierbij wordt geprobeerd de cache van de DNS-aanbieder te vervuilen, zodat die een ander IP-adres aan gebruikers teruggeeft, die dan bijvoorbeeld worden doorgestuurd naar een website van de aanvaller. Om dit soort aanvallen tegen te gaan moet de authenticiteit van een DNS-respons worden gecontroleerd. DNSSEC lost dit probleem op door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren.

Onderzoek

Van Impe keek voor zijn onderzoek zowel naar het top level domain (tld) van een land, bijvoorbeeld .nl, alsmede naar het overheidsdomein. Van de 28 landen bleek dat er slechts 7 DNSSEC voor het domein van hun overheidssite hebben ingeschakeld. Naast Nederland gaat het om Tsjechië, Estland, Griekenland, Spanje, Zweden en Groot-Brittannië. Daarnaast hebben 23 top level domeinen ondersteuning van DNSSEC ingeschakeld.

Dit houdt in dat 25% van de Europese overheidssites DNSSEC ondersteunt, ook al wordt DNSSEC door 82% van de Europese TLD's ondersteund. De TLD's van Cyprus, Italië, Malta, Roemenië en Slowakije blijken geen DNSSEC te ondersteunen.

Reacties (4)
10-08-2015, 19:20 door Anoniem
De sleutels van de root zijn in handen van ICANN, dat uiterst betrouwbare clubje dat werkt in opdracht van... de US overheid.
10-08-2015, 22:35 door Anoniem
Is de situatie bij providers inmiddels al beter? Ten tijde van het artikel https://www.security.nl/posting/401188/Veiligheid+internetbetalingen+ondergraven%3A+providers+ondersteunen+geen+DNSSEC was het bar slecht bij de providers.
10-08-2015, 23:33 door Anoniem
DNS is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen.

Beste redactie, ik begrijp dat dat telefoonboek een prachtig eenvoudige vergelijking is, maar laat 'm nou voortaan achterwege. Ik denk dat je doelgroep echt wel weet wat het DNS is. Bovendien heeft de vergelijking in dit soort artikelen geen enkel nut: een lezer die niet weet wat DNS is, zal ook niet weten wat een cache is, of cache poisening, of public key cryptography enzovoort. Gaan jullie daar ook mooie vergelijkingen voor verzinnen?
11-08-2015, 16:11 door marcod
Door Anoniem: De sleutels van de root zijn in handen van ICANN, dat uiterst betrouwbare clubje dat werkt in opdracht van... de US overheid.

Het alternatief is... geen DNSSEC en dat is per definitie onveiliger.

Overigens wordt er druk nagedacht over een transitie van de IANA-functie, want de VS willen er al een tijdje vanaf.

https://www.ianacg.org/ voor wie teveel tijd heeft, maar wel alles daarover wil weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure