image

NCSC waarschuwt voor manipulatie van dns-instellingen

donderdag 24 januari 2019, 17:31 door Redactie, 9 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt organisaties voor manipulatie van de dns-instellingen van hun domeinen. Eerder deze week gaf de Amerikaanse overheid een zelfde waarschuwing en riep overheden op om hun dns-records te controleren.

Aanleiding voor de waarschuwingen is berichtgeving dat aanvallers wereldwijd de dns-instellingen van domeinen van bedrijven en overheden hebben aangepast om zo gevoelige gegevens te stelen. Door het aanpassen van de dns-instellingen kan een aanvaller het inkomende netwerkverkeer van de organisatie tijdelijk omleiden. "De kwaadwillende kan het omgeleide verkeer inzien en manipuleren. Het omgeleide verkeer kan bijvoorbeeld e-mails, inloggegevens en gebruikersinvoer op webapplicaties bevatten", zo stelt het NCSC.

De aanvaller kan daarnaast vertrouwde certificaten voor de domeinnamen aanvragen en daarmee het netwerkverkeer onderscheppen. Het NCSC adviseert organisaties dan ook om op ongeautoriseerde wijzigingen van de dns-instellingen te monitoren en preventieve maatregelen te treffen. Zo moeten geregeld de ingestelde ip-adressen worden gecontroleerd en de Certificate Transparency-logs worden nagekeken op certificaten die zijn uitgegeven voor domeinnamen van de organisatie, maar die niet door de organisatie zijn aangevraagd. Verder wordt tweefactorauthenticatie aangeraden voor de accounts waarmee dns-instellingen zijn aan te passen.

Reacties (9)
24-01-2019, 18:11 door Anoniem
Mijn eerste knaller op het web draaide gewoon op IP. Zonder domeinnaam. Dat bookmark je net zo gemakkelijk, en vind je het leuk, dan kom je terug. Het moest ook wel want de kamer van koophandel nam me niet serieus (terwijl ik gewoon netjes btw en zo wou betalen) en ik kreeg een voorbeeldje mee, van een ouwe tang die een schoenenwinkel wil beginnen (terwijl heel de V&D en zo het ouwe tangen met schoenenwinkeltjes al vijftig jaar het leven zuur maakten). En de SIDN was ook zo een club. Dan maar geen domeinnaam. Dat werkte ook. En het werd alleen maar drukker.

Toen. Maar het werkt nog steeds. Het komt weer terug ook. Want op mobiel kun je met wat kunstjes ook gewoon een bookmark op je startscherm zetten. Als je je site van wat codes en icoontjes voorziet. Dan is die domeinnaam eigenlijk niet belangrijk meer. Het werkt als een app, maar doet geen rare dingen op je mobiel, of de onderliggende browser piept wel, dus ze zijn nog resource en privacy vriendelijker ook. (mits je dan die browser weer kunt vertrouwen, natuurlijk!)

Als er te veel gerommeld wordt met DNS, dan ga ik gewoon weer terug naar IP. De rest, daar gaat de ISDN dan maar eens over wakker liggen. Lang geleden, maar wat mij betreft staat het dan 1-1. Er zijn al zoveel leuke namen bezet, dat je meestal toch naar iets langs moet zoeken. Een IP intikken in een browser is inmiddels nog veel korter ook.

Er komt een tijd dat een IP, of zelfs een IPv6, gemakkelijker te herinneren is dan een domeinnaam. En al zeker als je straks via een domeinnaam op de ene spoof site na de andere phishing winkel komt. Het gaat zoekmachines flink bijten ook, als dat in zicht komt. Maar dat is ook best gezond.

Ik ga er voorlopig niet van wakker liggen. Ik koop een domein en geef een IP op. Dat dat werkt, daar betaal ik voor. Vanaf de webserver zelf kan ik daar niks aan veranderen.
24-01-2019, 19:22 door Anoniem
Voor vertrouwelijke sites heb ik een door mij geverifieerd hostsbestand dat bij elke bootup ververst wordt met een mastercopy onder geheel andere (nietsverradende) naam dat ergens zit verstopt,
en een extern IP-filter dat geen enkel "vreemd" IP-adres doorlaat,
én een bestand met de laatste geverifieerde certificaat-fingerprints, verloopdatum en certificaatuitever die bij de vertrouwelijke url horen, en wat ik met de computer ook elke keer controleer als ik deze bezoek.

De meeste vertrouwelijke bedrijven stappen naar mijn ervaring helemaal niet zo snel over naar een nieuw (of nieuwe set) IP-adressen. Alleen certificaten verlopen wel, dus die moeten af en toe opnieuw worden gecontroleerd en bijgewerkt in de lijst.
24-01-2019, 19:59 door Anoniem
Spuit 11 weer..
24-01-2019, 23:20 door Anoniem
Door Anoniem: Spuit 11 weer..

Beter dan helemaal geen spuit of een nietszeggende druppel op de gloeiende plaat.
25-01-2019, 07:41 door Anoniem
Door Anoniem: Mijn eerste knaller op het web draaide gewoon op IP. Zonder domeinnaam. Dat bookmark je net zo gemakkelijk, en vind je het leuk, dan kom je terug. Het moest ook wel want de kamer van koophandel nam me niet serieus (terwijl ik gewoon netjes btw en zo wou betalen) en ik kreeg een voorbeeldje mee, van een ouwe tang die een schoenenwinkel wil beginnen (terwijl heel de V&D en zo het ouwe tangen met schoenenwinkeltjes al vijftig jaar het leven zuur maakten). En de SIDN was ook zo een club. Dan maar geen domeinnaam. Dat werkte ook. En het werd alleen maar drukker.

Toen. Maar het werkt nog steeds. Het komt weer terug ook. Want op mobiel kun je met wat kunstjes ook gewoon een bookmark op je startscherm zetten. Als je je site van wat codes en icoontjes voorziet. Dan is die domeinnaam eigenlijk niet belangrijk meer. Het werkt als een app, maar doet geen rare dingen op je mobiel, of de onderliggende browser piept wel, dus ze zijn nog resource en privacy vriendelijker ook. (mits je dan die browser weer kunt vertrouwen, natuurlijk!)

Als er te veel gerommeld wordt met DNS, dan ga ik gewoon weer terug naar IP. De rest, daar gaat de ISDN dan maar eens over wakker liggen. Lang geleden, maar wat mij betreft staat het dan 1-1. Er zijn al zoveel leuke namen bezet, dat je meestal toch naar iets langs moet zoeken. Een IP intikken in een browser is inmiddels nog veel korter ook.

Er komt een tijd dat een IP, of zelfs een IPv6, gemakkelijker te herinneren is dan een domeinnaam. En al zeker als je straks via een domeinnaam op de ene spoof site na de andere phishing winkel komt. Het gaat zoekmachines flink bijten ook, als dat in zicht komt. Maar dat is ook best gezond.

Ik ga er voorlopig niet van wakker liggen. Ik koop een domein en geef een IP op. Dat dat werkt, daar betaal ik voor. Vanaf de webserver zelf kan ik daar niks aan veranderen.

Totdat je ergens je site gaat laten hosten en er meerdere domeinen op 1 IP draaien.
25-01-2019, 11:49 door Anoniem
SIDN biedt trouwens een dienst om je domeinnaam extra te beveiligen hiertegen:

https://www.sidn.nl/nl-control
25-01-2019, 11:53 door Anoniem
Door Anoniem: Voor vertrouwelijke sites heb ik een door mij geverifieerd hostsbestand dat bij elke bootup ververst wordt met een mastercopy onder geheel andere (nietsverradende) naam dat ergens zit verstopt,
en een extern IP-filter dat geen enkel "vreemd" IP-adres doorlaat,
én een bestand met de laatste geverifieerde certificaat-fingerprints, verloopdatum en certificaatuitever die bij de vertrouwelijke url horen, en wat ik met de computer ook elke keer controleer als ik deze bezoek.

De meeste vertrouwelijke bedrijven stappen naar mijn ervaring helemaal niet zo snel over naar een nieuw (of nieuwe set) IP-adressen. Alleen certificaten verlopen wel, dus die moeten af en toe opnieuw worden gecontroleerd en bijgewerkt in de lijst.

Bedoel je in dit geval sites die jij zelf bezoekt? Zo ja, dan is natuurlijk de ultieme vorm van controle :). Ik heb het idee dat het artikel gaat over publieke, authoritative DNS servers die geraadpleegd worden vanaf het internet, bijvoorbeeld om namen van websites van de overheid te resolven. Men kan niet verwachten dat iedereen zo bewust is en gebruik maakt van host files, firewall filters etc.
25-01-2019, 13:12 door Anoniem
Totdat je ergens je site gaat laten hosten en er meerdere domeinen op 1 IP draaien.
SNI ja, klopt helemaal. Dat zou toch bekend moeten zijn. Inmiddels wijder verbreidt ook.
Firefox 2.0 kon er al mee omgaan. (niet door een ip in te vullen maar de tegenwoordig gebruikelijke url-string)
Of het een probleem is hangt er maar van af of je daar een site uit nodig hebt.
Stel dat dit maar 1 site is, dan kan je toch met een apart ip-filter extra security bereiken.
25-01-2019, 16:49 door Anoniem
Bedoel je in dit geval sites die jij zelf bezoekt? Zo ja, dan is natuurlijk de ultieme vorm van controle :). Ik heb het idee dat het artikel gaat over publieke, authoritative DNS servers die geraadpleegd worden vanaf het internet, bijvoorbeeld om namen van websites van de overheid te resolven. Men kan niet verwachten dat iedereen zo bewust is en gebruik maakt van host files, firewall filters etc.
Uiteraard die ik zelf bezoek, zoals digid, belastingdienst, bank e.d.
Wat ik niet configureer wordt geblokkeerd.
Een digid ip-adres heb ik 1x zien veranderen in een tijd van jaren. Het bleek nog wel in dezelfde IP-range te liggen.
En en een keer gooide een bedrijf de hele boel overhoop. Dus het gebeurt wel, maar daar kom je wel weer achter dankzij tools. Op dat moment ben je even wat kwetsbaarder maar dan verder in het vervolg voorlopig weer een tijd niet meer voor die aanval.

Elke keer laat ik Wireshark meelopen en dat sla ik op. Om drastische veranderingen te constateren zoals de DNS-aanvraag die een ander IP oplevert, en kan ik ook later altijd nog nagaan of er nog iets vreemds was en zo ja: wat.
Soms laat ik uit SysInternals Suite het programaatje TCPView mee lopen, kan je IP-adressen ook op je scherm zien ipv in Wireshark.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.