NCSC waarschuwt voor manipulatie van dns-instellingen
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt organisaties voor manipulatie van de dns-instellingen van hun domeinen. Eerder deze week gaf de Amerikaanse overheid een zelfde waarschuwing en riep overheden op om hun dns-records te controleren.
Aanleiding voor de waarschuwingen is berichtgeving dat aanvallers wereldwijd de dns-instellingen van domeinen van bedrijven en overheden hebben aangepast om zo gevoelige gegevens te stelen. Door het aanpassen van de dns-instellingen kan een aanvaller het inkomende netwerkverkeer van de organisatie tijdelijk omleiden. "De kwaadwillende kan het omgeleide verkeer inzien en manipuleren. Het omgeleide verkeer kan bijvoorbeeld e-mails, inloggegevens en gebruikersinvoer op webapplicaties bevatten", zo stelt het NCSC.
De aanvaller kan daarnaast vertrouwde certificaten voor de domeinnamen aanvragen en daarmee het netwerkverkeer onderscheppen. Het NCSC adviseert organisaties dan ook om op ongeautoriseerde wijzigingen van de dns-instellingen te monitoren en preventieve maatregelen te treffen. Zo moeten geregeld de ingestelde ip-adressen worden gecontroleerd en de Certificate Transparency-logs worden nagekeken op certificaten die zijn uitgegeven voor domeinnamen van de organisatie, maar die niet door de organisatie zijn aangevraagd. Verder wordt tweefactorauthenticatie aangeraden voor de accounts waarmee dns-instellingen zijn aan te passen.
Toen. Maar het werkt nog steeds. Het komt weer terug ook. Want op mobiel kun je met wat kunstjes ook gewoon een bookmark op je startscherm zetten. Als je je site van wat codes en icoontjes voorziet. Dan is die domeinnaam eigenlijk niet belangrijk meer. Het werkt als een app, maar doet geen rare dingen op je mobiel, of de onderliggende browser piept wel, dus ze zijn nog resource en privacy vriendelijker ook. (mits je dan die browser weer kunt vertrouwen, natuurlijk!)
Als er te veel gerommeld wordt met DNS, dan ga ik gewoon weer terug naar IP. De rest, daar gaat de ISDN dan maar eens over wakker liggen. Lang geleden, maar wat mij betreft staat het dan 1-1. Er zijn al zoveel leuke namen bezet, dat je meestal toch naar iets langs moet zoeken. Een IP intikken in een browser is inmiddels nog veel korter ook.
Er komt een tijd dat een IP, of zelfs een IPv6, gemakkelijker te herinneren is dan een domeinnaam. En al zeker als je straks via een domeinnaam op de ene spoof site na de andere phishing winkel komt. Het gaat zoekmachines flink bijten ook, als dat in zicht komt. Maar dat is ook best gezond.
Ik ga er voorlopig niet van wakker liggen. Ik koop een domein en geef een IP op. Dat dat werkt, daar betaal ik voor. Vanaf de webserver zelf kan ik daar niks aan veranderen.
en een extern IP-filter dat geen enkel "vreemd" IP-adres doorlaat,
én een bestand met de laatste geverifieerde certificaat-fingerprints, verloopdatum en certificaatuitever die bij de vertrouwelijke url horen, en wat ik met de computer ook elke keer controleer als ik deze bezoek.
De meeste vertrouwelijke bedrijven stappen naar mijn ervaring helemaal niet zo snel over naar een nieuw (of nieuwe set) IP-adressen. Alleen certificaten verlopen wel, dus die moeten af en toe opnieuw worden gecontroleerd en bijgewerkt in de lijst.
Beter dan helemaal geen spuit of een nietszeggende druppel op de gloeiende plaat.
Toen. Maar het werkt nog steeds. Het komt weer terug ook. Want op mobiel kun je met wat kunstjes ook gewoon een bookmark op je startscherm zetten. Als je je site van wat codes en icoontjes voorziet. Dan is die domeinnaam eigenlijk niet belangrijk meer. Het werkt als een app, maar doet geen rare dingen op je mobiel, of de onderliggende browser piept wel, dus ze zijn nog resource en privacy vriendelijker ook. (mits je dan die browser weer kunt vertrouwen, natuurlijk!)
Als er te veel gerommeld wordt met DNS, dan ga ik gewoon weer terug naar IP. De rest, daar gaat de ISDN dan maar eens over wakker liggen. Lang geleden, maar wat mij betreft staat het dan 1-1. Er zijn al zoveel leuke namen bezet, dat je meestal toch naar iets langs moet zoeken. Een IP intikken in een browser is inmiddels nog veel korter ook.
Er komt een tijd dat een IP, of zelfs een IPv6, gemakkelijker te herinneren is dan een domeinnaam. En al zeker als je straks via een domeinnaam op de ene spoof site na de andere phishing winkel komt. Het gaat zoekmachines flink bijten ook, als dat in zicht komt. Maar dat is ook best gezond.
Ik ga er voorlopig niet van wakker liggen. Ik koop een domein en geef een IP op. Dat dat werkt, daar betaal ik voor. Vanaf de webserver zelf kan ik daar niks aan veranderen.
Totdat je ergens je site gaat laten hosten en er meerdere domeinen op 1 IP draaien.
https://www.sidn.nl/nl-control
en een extern IP-filter dat geen enkel "vreemd" IP-adres doorlaat,
én een bestand met de laatste geverifieerde certificaat-fingerprints, verloopdatum en certificaatuitever die bij de vertrouwelijke url horen, en wat ik met de computer ook elke keer controleer als ik deze bezoek.
De meeste vertrouwelijke bedrijven stappen naar mijn ervaring helemaal niet zo snel over naar een nieuw (of nieuwe set) IP-adressen. Alleen certificaten verlopen wel, dus die moeten af en toe opnieuw worden gecontroleerd en bijgewerkt in de lijst.
Bedoel je in dit geval sites die jij zelf bezoekt? Zo ja, dan is natuurlijk de ultieme vorm van controle :). Ik heb het idee dat het artikel gaat over publieke, authoritative DNS servers die geraadpleegd worden vanaf het internet, bijvoorbeeld om namen van websites van de overheid te resolven. Men kan niet verwachten dat iedereen zo bewust is en gebruik maakt van host files, firewall filters etc.
Firefox 2.0 kon er al mee omgaan. (niet door een ip in te vullen maar de tegenwoordig gebruikelijke url-string)
Of het een probleem is hangt er maar van af of je daar een site uit nodig hebt.
Stel dat dit maar 1 site is, dan kan je toch met een apart ip-filter extra security bereiken.
Wat ik niet configureer wordt geblokkeerd.
Een digid ip-adres heb ik 1x zien veranderen in een tijd van jaren. Het bleek nog wel in dezelfde IP-range te liggen.
En en een keer gooide een bedrijf de hele boel overhoop. Dus het gebeurt wel, maar daar kom je wel weer achter dankzij tools. Op dat moment ben je even wat kwetsbaarder maar dan verder in het vervolg voorlopig weer een tijd niet meer voor die aanval.
Elke keer laat ik Wireshark meelopen en dat sla ik op. Om drastische veranderingen te constateren zoals de DNS-aanvraag die een ander IP oplevert, en kan ik ook later altijd nog nagaan of er nog iets vreemds was en zo ja: wat.
Soms laat ik uit SysInternals Suite het programaatje TCPView mee lopen, kan je IP-adressen ook op je scherm zien ipv in Wireshark.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
