Adhemar

De toestand der dingen

Adhemars overpeinzingen, beslommeringen, ideeën, fascinaties, anekdotes, opinies en krabbeltjes

By any other name

donderdag 17 juli 2008, 14:30 | Computer

Een goede week geleden, op dinsdag 8 juli 2008, ontstond heel wat tumult in computerbeveiligingskringen. Het Computer Emergency Readiness Team (CERT) van het Amerikaanse Department of Homeland Security maakte bekend[2] dat onderzoeker Dan Kaminsky een bijzonder erge bug ontdekt had in het DNS protocol. Niet zomaar in een particuliere implementatie van DNS, nee: in het protocol zelf. Verschillende spelers in de computerindustrie waren al maanden op de hoogte, en die dag publiceerden de meeste vendors (Microsoft, Cisco, Ubuntu, …) tegelijkertijd hun patches voor het probleem.

Het DNS protocol,[3] voluit Domain Name System, is het protocol dat sinds de jaren 1980 gebruikt wordt om domeinnamen (zoals adhemar.eu.) naar IP-adressen (zoals 87.238.162.40) te vertalen en omgekeerd. Andere protocollen (zoals HTTP voor het surfen op het wereldwijde web, of SMTP voor het versturen van e-mail, en nog vele andere) werken meestal met domeinnamen, en steunen dus op de correcte werking van DNS voor hun eigen correcte werking.

Het DNS systeem werkt gedistribueerd: wanneer een name server een vraag over een internetadres krijgt, en het IP-adres dat erbij hoort, zelf niet kent, dan kan het de vraag doorspelen naar een andere name server. Om performantieredenen gebeurt dat best niet te vaak. Daarom houdt de eerste name server het antwoord zelf ook een tijdje bij in zijn cache; zo kan het de volgende keer het een vraag krijgt over hetzelfde internetadres, wel onmiddellijk antwoorden. De bug zou iemand met kwaadwillige bedoelingen[1] via een complexe techniek in staat stellen verkeerde informatie in de cache te brengen; waardoor uiteindelijk de informatiepakketjes van het internetverkeer, zonder het medeweten en tegen de wil van de internetgebruiker, naar een andere computer omgeleid kunnen worden.

Het opmerkelijke aan dit incident is dat Dan Kaminsky de technische details van de bug (voorlopig) niet publiek maakt. Zijn meest volledige uitleg[4] bracht hij ten berde op Foo Camp 2008. De internetgemeenschap wordt gevraagd de experten die op de hoogte zijn (Dan Kaminsky, Paul Vixie, Florian Weimar, David Dagon, de Amerikaanse overheid, de vendors, …) zomaar op hun woord te geloven

  • dat er een serieus probleem is;
  • dat de patches het probleem verhelpen (ondanks Dan’s cryptische beschrijving dat de patches op een ander niveau het probleem proberen te verhelpen dan waar het zich logischerwijze voordoet);
  • dat de patches geen nieuwe veiligheidsproblemen (bewust of onbewust) introduceren; en dus
  • dat computerbeheerders maar beter de vendor’s aangeboden patch zo snel mogelijk installeren (of, alternatief, oude DNS servers uit gebruik nemen).

Zoals Dan Kaminsky eigenlijk zelf toegeeft:

Asking computer security researchers not to publicly research something is the biggest, most ridiculous request that could ever be made.

→ Dan Kaminsky[4]

Dit druist namelijk in tegen de (niet geheel oncontroversiële) basisfilosofie uit de computerbeveiliging: “There ’s no such thing as security through obscurity!” (een ruime interpretatie van Kerckhoffs’ principe).

Vele beveiligingsexperten, zoals Thomas Ptacek, waren dan ook kritisch. Dan bracht dergelijke grote namen dan maar op de hoogte, en ook Thomas moest toegeven:

Dan has the goods. Patch now, ask questions later.

→ Thomas Ptacek (Matasano)[5]

De geheimzinnigheid rond deze kwetsbare kant van DNS zal niet eeuwig blijven duren. Dan Kaminsky is van plan de details bekend te maken op een beveiligingsconferentie op woensdag 6 augustus 2008. Hij hoopt dat tegen dan zoveel mogelijk systemen al zijn geüpdated.

Voetnoot

Referenties

Schrijf een reactie

juli 2008
m D w d v Z Z
« jun   aug »
 123456
78910111213
14151617181920
21222324252627
28293031  

Zoeken

Copyleft en copyright, Stijn “Adhemar” Vandamme, 2008. Sommige rechten voorbehouden.

Creative Commons Naamsvermelding Gelijk Delen Tenzij uitdrukkelijk anders vermeld, valt alle originele tekst, de opmaak, en alle andere content van gelijk welke vorm dat door Stijn “Adhemar” Vandamme gemaakt en op deze De toestand der dingen blog gepubliceerd is, onder de Creative Commons Naamsvermelding–Gelijk Delen versie 2.0 België licentie. Rechten op de afbeelding van de stripfiguur Adhemar rusten echter bij tekenaar Marc Sleen en Standaard uitgeverij. Reacties en trackbacks geplaatst via het blogsysteem blijven intellectuele eigendom — wat een lelijke, misleidende term, trouwens — van de verantwoordelijke reageerder. Door de reactie of trackback te plaatsen, geeft zo ’n reageerder Stijn “Adhemar” Vandamme echter wel eeuwigdurende toelating de reactie te publiceren. Zo gaat dat, nietwaar. Deze webpagina bestaat uit geldige xhtml 1.0 strikt; het uiterlijk heeft stijl met geldige css. De site is in overeenstemming met “No www”, klasse b. uris worden met opzet helder en extensieloos gehouden. De site is best te bekijken met uw ogen, en een browser naar keuze. Deze blog wordt bekrachtigd door WordPress, dat is een prachtig stukje software dat onder de gnu General Public License versie 2 vrijgegeven wordt. De vertaling gebeurde door WordPress Themes.