Aan het juiste adres

Internetadressen voorzien van een handtekening kunnen fraude voorkomen. Door toename van e-commerce wordt de behoefte aan een dergelijk veilig syteem steeds groter.

De ruggengraat van internet, het Domain Name System, is onveilig. Dat is geen nieuws. Al sinds 1991 is bekend dat er in het DNS een groot gat zit dat de stabiliteit van het internet in gevaar kan brengen. Het is voor een criminele hacker niet moeilijk om het DNS te vervuilen met valse informatie en bijvoorbeeld een website onder het domein bijenkorf.nl op te zetten. Die site, die niet van de echte Bijenkorf-site is te onderscheiden, kan de hacker gebruiken om creditcard-nummers en andere persoonlijke gegevens te verzamelen.

Zo nu en dan worden domeinen gekaapt via het DNS-lek. In 1999 werd het hele Oost-Timorese internetdomein, dat wil zeggen alle websites en e-mailadressen eindigend op de landenafkorting .tp, uit cyberspace weggevaagd. Tegenstanders van de vrijheidsstrijders die .tp gebruikten om te vechten voor de onafhankelijkheid van Oost-Timor, deden zich voor als de rechtmatige eigenaren van het domein en haalden het vervolgens uit de lucht. Microsoft werd in januari van dit jaar slachtoffer van de slechte beveiliging van het DNS. De softwaregigant had zijn eigen deel van het DNS zo amateuristisch ingesteld dat hackers erin slaagden een groot deel van de websites van het bedrijf een week lang uit de lucht te houden.

DNS vertaalt domeinnamen in IP-adressen. Het internet bestaat uit miljoenen unieke adressen van computers en websites, Internet Protocol-adressen geheten. Omdat namen gemakkelijker te onthouden zijn dan cijferreeksen als 195.193.118.57 (www.nrc.nl) is DNS bedacht. DNS, dat ook wordt gebruikt om e-mail op de plaats van bestemming aan te laten komen, bestaat uit een enorme lijst van domeinnamen en de corresponderende IP-adressen.

``DNS is helemaal gericht op het zo efficiënt mogelijk omzetten van nummers in namen en omgekeerd. Beveiliging heeft nooit een rol gespeeld bij het ontwerp. Toen het internet begon te groeien is vooral gelet op efficiëntie en schaalbaarheid'', zegt dr. Ted Lindgreen van onderzoeksinstituut NLnet Labs. Lindgreen (52), die in de jaren tachtig betrokken was bij de introductie van internet in Europa, werkt aan DNSSEC, een veilige versie van DNS.

DNS is de grootste gedistribueerde database ter wereld. Voordat DNS in 1984 werd ingevoerd, was er één groot bestand met namen en nummers, waar men via e-mail zijn hostnaam in kon laten opnemen. Al snel werd het bestand te groot. Bovendien werd het steeds moeilijker een unieke naam te bedenken. DNS zorgde ervoor dat dubbele namen verleden tijd waren en maakte het onderhoud van het systeem eenvoudiger. Omdat het bestand met namen en nummer over verschillende computers die met elkaar in verbinding stonden werd verdeeld, was ook het schaalbaarheidsprobleem opgelost. Tegenwoordig bestaat het DNS uit tienduizenden computers (nameservers) die een deel van alle domeinnamen en IP-adressen bevatten. Internetgebruikers die een website bezoeken of een e-mail sturen, raadplegen automatisch de dichtstbijzijnde nameserver, meestal die van hun eigen provider. Als die het adres niet kent, vraagt hij het op bij een andere nameserver.

gecached

Het DNS bevat nu honderden miljoenen namen en nummers. Om internetgebruikers zo snel mogelijk van dienst te zijn, worden opgevraagde domeinen en IP-adressen in het geheugen opgeslagen (gecached). Als een surfer een vaak geraadpleegde website als www.startpagina.nl opvraagt, haalt het DNS het IP-adres (213.84.130.140) uit zijn geheugen. Dat gaat sneller dan de database raadplegen. Caching is heel normaal op internet. Webbrowsers werken op dezelfde manier. Een site die eenmaal bezocht is, wordt opgeslagen in een speciale directory op de harde schijf. De volgende keer dat de gebruiker de site wil bezoeken, komen de plaatjes en de teksten via zijn eigen computer op het scherm, wat tijd spaart. ``Caching vormt het grote risico van het DNS'', zegt Lindgreen. ``Als iemand iets fouts wil doen zorgt hij ervoor dat de cache vervuild wordt.''

Een oplossing voor het cache-lek is al in 1994 bedacht en beschreven. Twee jaar geleden werd de oplossing officieel vastgelegd in een Request for Comment (RFC), een document dat internetstandaarden beschrijft. Omdat het lek tot nu toe niet voor een groot schandaal heeft gezorgd, hebben de internetgemeenschap en het bedrijfsleven nooit haast gemaakt met het invoeren van een veilige DNS, vermoedt Lindgreen. Nu e-commerce zo'n grote vlucht heeft genomen en ook steeds meer banken hun klanten via het web bedienen, is het de hoogste tijd dat DNSSEC wordt ingevoerd, vindt Lindgreen. Internetgebruikers moeten zich ervan kunnen overtuigen dat www.abnamro.nl ook echt de site van hun bank is. En bedrijven hebben ook behoefte om vast te stellen of de klant met het e-mailadres klaver@nrc.nl ook echt is wie zij zegt dat ze is.

DNSSEC zorgt voor de beveiliging en authenticatie die nodig is. Alle domeinen worden voorzien van een elektronische handtekening. De handtekening wordt als record aan de database toegevoegd. Het publieke deel van de sleutel waarmee de elektronische handtekening wordt gezet, wordt ook in de database opgenomen als deel van de zonefile. Met behulp van de publieke sleutel kan een bedrijf of gebruiker controleren of de handtekening van een domein echt is.

Of het veilige DNS ook echt werkt, werd lange tijd in twijfel getrokken. Lindgreen: ``Tot voor kort had niemand dit echt goed onderzocht. Er waren wel wat probeersels gedaan hier en daar en die bleken allemaal niet te lukken.'' Lindgreen besloot om DNSSEC in de praktijk te onderzoeken. ``Ik wilde weten waar het schip zou stranden en eventueel de standaard aanpassen.'' Uit de grootschalige test die NLnet Labs begin 2000 opzette, bleek dat de oplossing uit 1994 wel werkt. Tot Lindgreens verbazing lukte het om de .nl zone, die uit bijna 600.000 domeinnamen bestaat, binnen een half uur van handtekeningen te voorzien met een pc van 2.000 gulden. De Duitse domeinzone, acht keer zo groot als de Nederlandse, werd binnen vier uur gesigneerd.

testbed

De Stichting Internet Domeinregistratie Nederland, de beheerder van de .nl domeinen waar Lindgreen bestuurslid van is, stelt een speciaal domein als testbed ter beschikking. Dit domein, .nl.nl, wordt gebruikt om te kijken of DNSSEC ook in een echte omgeving werkt waar elke dag domeinen worden uitgegeven en veranderen van eigenaar. ``Alles werkt prima. Dat betekent dat DNSSEC ook in een productieomgeving geïmplementeerd kan worden.''

Lindgreen gaat ervan uit dat de uitkomsten van deze test binnenkort worden geaccepteerd door de Internet Engineering Task Force (IETF), het orgaan dat internetstandaarden vaststelt. Of DNSSEC ook daadwerkelijk wordt ingevoerd, hangt af van de bedrijven en instanties die domeinen uitgeven. ``Het makkelijkst zou zijn als de root DNSSEC zou invoeren'', zegt Lindgreen. De root, die naar de top level domeinen (TLD) verwijst, is ICANN (Internet Corporation for Assigned Names and Numbers). ICANN is een internationale non-profit organisatie die erop toeziet dat het beheer van domeinnamen en IP-adressen ordentelijk verloopt. Elk TLD (.com, .net, .edu, .nl, .de etc.) heeft een eigen beheerder. Elke TLD-beheerder kan dan zelf sleutels uitgeven aan eigenaren van domeinen. ``Het is niet moeilijk om de betrouwbaarheid van de root te controleren omdat het maar om één handtekening en sleutel gaat. Die kun je publiceren op internet of op televisie uitzenden'', zegt Lindgreen.

Lindgreen hoopt dat DNSSEC zo snel mogelijk wordt ingevoerd. ``De behoefte aan beveiliging is zo groot dat we niet stil kunnen blijven zitten. Als DNSSEC niet binnen een paar maanden wordt ingevoerd, zullen bedrijven voor een andere oplossing kiezen.'' Lindgreen is bang dat Microsoft dan de standaard zal bepalen op beveiligingsgebied. Microsoft heeft al plannen voor de beveiliging van websites. ``Het probleem is dat die in hoge mate incompatibel zijn met de rest van het internet. Microsoft heeft nu al dingen uitgehaald met het DNS die het internetverkeer verstoren. Door de manier waarop software van Microsoft domeinnamen afhandelt, lopen delen van het DNS regelmatig vast.''

www.nlnetlabs.nl

    • Marie-José Klaver