Nooit was beveiliging internet zo lek

Er zit een grote fout in de manier waarop het internetverkeer wordt geregeld. Dit leidt tot veiligheidsrisico’s. Morgen gaat de ontdekker precies vertellen hoe het zit.

Per ongeluk verklapt een Amerikaanse programmeur op 21 juli tot dan toe geheime details over een fout in een cruciaal onderdeel van internet. Twee dagen later al verschijnen de eerste handleidingen online om die fout te misbruiken.

De fout stelt computercriminelen in staat om een internetgebruiker naar een valse website te sturen, terwijl de gebruiker denkt dat hij op de officiële site van bijvoorbeeld een bank of een gemeente zit. De adresbalk toont gewoon rabobank.nl of alkmaar.nl, maar de site is een façade, bedoeld om persoonlijke gegevens te stelen.

Op 8 juli was al software beschikbaar om de fout te repareren, maar eenderde van de internetservers in Nederland is nog niet aangepast. Dat meldt de Stichting Internet Domeinregistratie Nederland (SIDN), de beheerder van de nl-domeinnamen. SIDN zegt dat met name kleinere bedrijven en organisaties kwetsbaar zijn, omdat die over het algemeen minder snel hun systemen updaten dan grote bedrijven en providers.

De bewuste fout zit in het adresboek van internet, het Domain Name System. Het DNS vertaalt domeinnamen naar Internet Protocol- of IP-adressen: www.nrc.nl wordt 145.222.43.130. Vertalen moet, want webservers kunnen alleen communiceren met nummers. Begin dit jaar ontdekte beveiligingsexpert Dan Kaminsky dat hackers eenvoudig kunnen inbreken op adresboeken van providers en bedrijven (zie ‘Dan Kaminksy ontdekte een truc’).

Kaminsky meldde zijn ontdekking bij de belangrijkste fabrikanten van DNS-software. Die spraken af het probleem voor zich te houden en gezamenlijk op 8 juli met een reparatiepakket (patch) te komen. Op 6 augustus, als alle systeembeheerders hun servers zouden hebben beveiligd, zou Kaminsky zijn vondst presenteren tijdens de Black Hat-conferentie over computerbeveiliging in Las Vegas.

Dat leek goed te gaan totdat een technicus van een van de fabrikanten zijn mond voorbijpraatte op een weblog. Een dag later realiseerde hij zich zijn blunder, verwijderde zijn bijdrage van het blog en bood zijn excuses aan aan Kaminsky. Maar toen wist menig hacker al van de fout. Kaminsky gaat morgen in Las Vegas zijn ontdekking toelichten om een structurele oplossing voor de fout te forceren.

„In de 25-jarige geschiedenis van DNS is er nog nooit een kwetsbaarheid van deze omvang bekend geworden”, zegt Antoin Verschuren, technisch adviseur van SIDN. Hij was vorige week in Dublin voor een congres van de Internet Engineering Task Force, een organisatie van internettechnici. „Er wordt hier heel druk gesproken over de ‘Kaminsky Code’. Het is echt ernstig.” Verschuren benadrukt dat het uitvoeren van de patch niet volstaat. „Bedrijven moeten ook instellingen in andere apparatuur, zoals firewalls [beveiligingscomputers of -software, red.] en routers [verkeersregelaars, red.] aanpassen.” Volgens de Nederlandse technicus is al misbruik gemaakt van de kwetsbaarheid in DNS. „Ironisch genoeg was het eerste slachtoffer de Amerikaanse maker van MetaSploit.” Juist bij deze maker van hackersoftware zit veel deskundigheid op dit terrein.

Mogelijke schade valt nog niet te kwantificeren, zegt Douwe Leguit van Govcert, het Computer Emergency Response Team van de Nederlandse overheid. „Een fout in DNS heeft grote impact, want wij maken er allemaal gebruik van, maar er is nog wel enige kennis nodig om de fout te exploiteren.” Govcert heeft overheden en andere aangesloten organisaties gewaarschuwd voor het probleem. Snel updaten is de beste remedie.

Internetaanbieder Xs4all heeft alle kwetsbare systemen direct na de publicatie van de patch gerepareerd, zegt een woordvoerder. Zakelijke klanten en hobbyisten met een eigen DNS-server raadt Xs4all aan ook snel te updaten. Gewone internetgebruikers kunnen in principe niets meer doen aan de Kaminksy-fout dan opletten waar op internet zij persoonlijke gegevens achterlaten. Sites voor telebankieren, webwinkels en digitale loketten van overheden maken vrijwel altijd gebruik van extra beveiliging. Het adres moet beginnen met https in plaats van http.

Lees De Kaminsky Code: Kwetsbaarheden in DNS via nrc.nl/economie

    • Jan Benjamin