De langverwachte presentatie door beveiligingsonderzoeker Dan Kaminsky over het ernstige DNS-lek vond gisteren eindelijk plaats. Het had Kaminsky's 'finest hour' moeten worden, maar zijn collega's gooiden roet in het eten. Dat neemt niet weg dat alle ophef terecht was, zo liet de onderzoeker gisteren weten.

Door het lek kan een aanvaller alle websites aanvallen, ook al gebruikt de host een firewall. Het zijn echter niet alleen websites die zich zorgen moeten maken. "Het internet is meer dan alleen het web. HTTP wordt in meer dingen dan alleen de browser gebruikt," zo liet hij het publiek gisteren horen. De mogelijkheden om de kwetsbaarheid te misbruiken zijn veel groter dan in eerste instantie werd aangenomen. Zo kunnen de meeste mailsystemen DNS lookups uitvoeren en hebben ze zelfs een eigen nameserver. "Mailservers zijn fantastisch in het uitvoeren van DNS lookups. Ze doen voor alles een DNS lookup en je spamfilter stopt dit probleem niet."

Ondanks de ernst van de situatie is 15% - 30% van de Fortune 500 bedrijven nog altijd niet gepatcht, waardoor aanvallers bezoekers naar kwaadaardige websites kunnen doorsturen. Veel bedrijven geloven dat hun interne DNS omgeving niet kwetsbaar is, maar veel van die interne omgevingen werken met externe DNS server, en zelfs als dit niet zo is, zijn de meeste interne omgevingen verbonden met DNS servers die klanten en leveranciers gebruiken.

Het DNS-lek treft elk systeem dat het internet gebruikt, waaronder oude applicaties zoals FTP, Telnet, SNMP, authenticatie servers zoals Radius, backup en restore systemen en zelfs service-oriented architecture (SOA) omgevingen lopen risico.

SSL geen oplossing

Het gebruik van Secure Sockets Layer (SSL) encryptie kan de aanval niet voorkomen, aldus Kaminsky. De meeste websites forceren het gebruik van SSL niet volledig en veel sites bieden een optie aan om vergeten wachtwoorden te mailen, een functie die eigenlijk als "loper" fungeert en een aanvaller veel van de beveiligingsmaatregelen laat omzeilen.

Kaminsky had ook nog een opmerking over een nieuwe generatie van beveiligingsonderzoek, waarbij alle netwerkapplicaties doelwit zijn. Hij doelt daarmee onder andere op automatische update mechanismen die eenvoudig zijn aan te vallen. "Met name autoupdate is een zooitje en al defect in het ontwerp, behalve bij Microsoft." Iets wat de softwaregigant zelf ook al was opgevallen.

Verder kwam nog het gebruik van certificaten aan bod, waaruit blijkt dat van de 327.000 certificaten de helft door de gebruiker zelf was getekend.