Nieuws
image

Dan Kaminsky wil Amsterdam helpen bij patchen DNS-servers

dinsdag 9 september 2008, 12:34 door Redactie, 9 reacties

Er lijkt maar geen eind te komen aan de soap rondom de DNS-servers van de Gemeente Amsterdam. Halverwege augustus kwam de PvdA-fractie met vragen waarom de DNS-servers nog niet gepatcht zouden zijn. Getronics, dat de internetaansluiting van Amsterdam verzorgt, liet weten dat de meldingen die de PvdA politica te zien kreeg onjuist was. De firewall zou ervoor zorgen dat het verkeerde resultaat werd getoond, maar volgens de ontdekker van het DNS-lek, Dan Kaminsky, is zijn test wel betrouwbaar. In het geval van Amsterdam zou dit betekenen dat de firewalls niet gepatcht waren.

"Het lijkt alsof de DNS systemen nog steeds niet voorzien zijn van de laatste patch. De feitelijke situatie is dat op de DNS-systemen de laatste security patches zijn geïnstalleerd," zo laat het College van B&W weten. Of de firewalls ook gepatcht zijn wordt nergens genoemd. Het college blijft zelfs volhouden dat de test van Kaminsky onjuist is. "De site Doxpara.com geeft een onterechte veiligheidswaarschuwing wanneer de technische inrichting van de DNS-servers is gecombineerd met een firewall."

Kaminsky bestrijdt de visie van Amsterdam. Volgens de DNS-goeroe werkt zijn test wel als er een firewall in gebruik is. Een gepatchte firewall zou zelfs als oplossing voor ongepatchte DNS-servers kunnen dienen, als de firewall tenminste willekeurige poortnummers kiest. De Amerikaan gaat niet in op de bewering van het college dat zijn test niet klopt. Hij wil juist helpen. "Veel liever dan kritiek te leveren, wil ik graag met de techneuten uit Amsterdam werken aan een oplossing", zo laat hij aan Webwereld weten. De gemeente lijkt echter niet op een gratis consult te wachten en Getronics voegt eraan toe dat de gemeente veilig is en de antwoorden van het college helder zijn.

Reacties (9)
09-09-2008, 12:40 door Anoniem
Amsterdam wil niet geholpen worden. B&W laten zich door hun onkunde zaken wijs maken die niet correct zijn en hebben dat niet door, de (commerciele) beheerders weten niet waar ze mee bezig zijn en verhullen dat het liefst op iedere mogelijke manier. Er zitten weer eens personen aan knoppen en bestuurlijke posities die geen flauw idee hebben waar ze mee bezig zijn als het om beveiliging gaat, maar heel goed weten hoe ze het zogenaamd goed kunnen praten met slappe excusses en kulpraat. Een dikke streep door de figuren die daar de handen aan de touwtjes hebben en hun kunde.
09-09-2008, 13:14 door Anoniem
Ze hebben toch een firewall? Dan is alles veilig, dat weet iedereen.

Degene die daar de IT adviezen geeft krijgt vast promotie.
09-09-2008, 13:25 door wimbo
Of ik het goed begrijp:..... Het kan toch zo zijn dat de DNS wel die random poorten gebruikt (dus ook gepatched is), maar dat het DNS verkeer door een firewall/proxy gaat die vervolgens weer gebruik maakt van een standaard poort. De firewall/proxy koppelt dan dus een random (interne) source poort aan een 'vaste' uitgaande poort op de firewall/proxy.

In dat geval lijkt me de DNS wel gepatched, maar wordt dit teniet gedaan door de firewall/proxy.
09-09-2008, 14:46 door Anoniem
Wat is meneer Kaminsky aardig zeg, ik wou dat iedereen zo aardig is. rotflmao
09-09-2008, 15:52 door Anoniem
Waarom doet het Collega van B&W uberhaupt een uitspraak over zijn computernetwerk? Zitten daar nu ook systeemspecialisten in of roepen ze gewoon maar wat de leverancier hen verteld??
09-09-2008, 15:53 door spatieman
qoute:
De gemeente lijkt echter niet op een gratis consult te wachten en Getronics voegt eraan toe dat de gemeente veilig is
end qoute:

Bezopen antwoord van getronics
09-09-2008, 15:57 door Anoniem
haha als ze denken dat het *testresultaat* onjuist is vanwege de firewall dan hebben ze echt niets van de aanval begrepen.

Misschien moet amsterdam eens als een dolle op zoek naar een groepje mensen dat wel kennis van zaken heeft.
09-09-2008, 20:53 door RobertoG
Zijn er nog liefhebbers die willen helpen bewijzen dat doxpora.com gelijk heeft dat amsterdam niet veilig is achter die firewall ;-)
Reageren mag als "Anoniem" LOL
10-09-2008, 11:13 door Anoniem
Leuk, lees eens de beantwoording van de vragen die gesteld zijn op http://webwereld.nl/attachments/free/Beantwoording%20schriftelijke%20vragen%20Mevr%20Gazic.pdf

De beantwoording van vraag 3 (die dus op 14 augustus 2008 is gesteld):
"Nader onderzoek heeft op 7 augustus opgeleverd dat de tools welke beschikbaar zijn voor het testen van de DNS op de juiste patching (beveiligingsupdate) in een aantal gevallen niet de juiste conclusie presenteren. Veroorzaker hiervan is het NAT systeem welke door onze firewalls gebruikt wordt voor de internet dienstverlening.
De laatste security patch zorgt er voor dat de afzender poort van de DNS systemen meer random is. Deze wordt door de Firewall vertaald in een minder random vorm, waardoor tools die op internet staan een negatief resultaat geven op de randomness waardoor het lijkt alsof de DNS systemen nog steeds niet voorzien zijn van de laatste patch. De feitelijke situatie is dat op de DNS-systemen de laatste security patches zijn geïnstalleerd."

De firewall NAT dus de DNS-requests in een "minder random" vorm. Dat is het politiek correcte antwoord voor (inderdaad) "een statische poort".
Applaus voor GPR: de DNS-servers zijn gepatched.
Applaus voor de auditers: de firewall is niet gepatched.
Misschien een leuke job voor ome Dan Kaminsky om de audit uit te voeren....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search