GlobalSign Blog

Ook bekend als DNS spoofing, DNS cache poisoning is een aanval die is ontworpen om kwetsbaarheden in een DNS, of domeinnaamsysteem, te lokaliseren en vervolgens uit te buiten, om organisch verkeer weg te lokken van een legitieme server en naar een valse server te leiden.

De dreiging van DNS cache poisoning kwam eerder dit jaar in april in het nieuws toen de DNS-servers van cryptogigant MyEtherWallet werden gekaapt en legitieme gebruikers werden omgeleid naar een phishing-website.

Als gevolg van de cache poisoning werden meerdere gebruikers misleid tot het opgeven van hun portemonnee-sleutels voordat ze hun cryptocurrencies overdroegen naar een andere digitale portemonnee die met de hackers in verband werd gebracht. Al met al stalen de hackers ongeveer honderdzestigduizend dollar aan Ethereum voordat het probleem werd geïdentificeerd en gestopt.

Dit is slechts één voorbeeld dat illustreert hoe gevaarlijk DNS cache poisoning kan zijn. Een andere reden waarom dit soort aanval gevaarlijk is, is omdat het zich gemakkelijk kan verspreiden van de ene DNS-server naar de volgende.

In dit artikel zullen we het onderwerp behandelen van hoe DNS cache poisoning werkt en vervolgens enkele oplossingen die u kunt toepassen om het te stoppen, mocht het u ooit overkomen.

Telkens wanneer uw browser een domeinnaam contacteert, moet deze eerst contact opnemen met de DNS-server.
Domain Name Servers (DNS) zijn het internet equivalent van een telefoonboek. Ze houden een directory van domeinnamen bij en vertalen deze naar Internet Protocol (IP)-adressen.

Dit is nodig omdat, hoewel domeinnamen voor mensen gemakkelijk te onthouden zijn, computers of machines, toegang krijgen tot websites op basis van IP-adressen.

De server zal dan antwoorden met ten minste één IP-adres (maar meestal meer) voor uw computer om de domeinnaam te bereiken. Zodra uw computer verbinding maakt met het IP-adres, zet de DNS de domeinnaam om in een IP-adres dat uw computer kan lezen.

Op dit moment draait uw internetprovider meerdere DNS-servers, die elk ook informatie van andere servers in de cache opslaan (of opslaan). De Wi-Fi-router die u thuis hebt, fungeert in wezen ook als een DNS-server, omdat deze informatie van de servers van uw ISP in de cache opslaat.

Een DNS-cache wordt “vergiftigd” wanneer de server een onjuiste invoer ontvangt. Om dit in perspectief te plaatsen, kan het gebeuren wanneer een hacker de controle over een DNS-server krijgt en vervolgens informatie daarin wijzigt.

Ze kunnen bijvoorbeeld de informatie zodanig wijzigen dat de DNS-server gebruikers zou vertellen om naar een bepaalde website met het verkeerde adres te zoeken. Met andere woorden, de gebruiker voert de ‘juiste’ naam van de website in, maar wordt vervolgens naar het verkeerde IP-adres gestuurd, en met name naar een phishing-website.

Eerder hebben we gezegd dat een van de redenen waarom DNS cache poisoning gevaarlijk is, is hoe snel het zich kan verspreiden van de ene DNS-server naar de volgende. Dit wordt bereikt als en wanneer meerdere internet service providers hun DNS-informatie ontvangen van de nu door hackers gecontroleerde server, wat resulteert in de ‘vergiftigde’ DNS-entry die zich verspreidt naar die ISP’s om in de cache te worden opgeslagen.

Vanaf dat punt kan het zich verspreiden naar andere DNS-servers en thuisrouters en computers zullen de DNS-entry opzoeken alleen om het verkeerde antwoord te ontvangen, wat ertoe leidt dat meer en meer mensen slachtoffer worden van de vergiftiging. Pas als de vergiftigde cache op elke getroffen DNS-server is gewist, zal het probleem worden opgelost.

Hoe te beschermen tegen DNS Cache Poisoning

Een van de lastige aspecten van DNS cache poisoning is dat het uiterst moeilijk zal zijn om te bepalen of de DNS-reacties die u ontvangt legitiem zijn of niet. In het geval van My Ethereum Wallet hadden ze zeer beperkte middelen om te voorkomen dat de situatie zich voordeed, en het probleem werd uiteindelijk opgelost door hun serverproviders.

Gelukkig zijn er nog steeds een aantal maatregelen die uw organisatie kan nemen om te voorkomen dat een dergelijke aanval u overkomt, dus u moet niet onder de indruk zijn dat DNS cache poisoning onmogelijk of bijna onmogelijk te voorkomen is.

Eén ding dat u bijvoorbeeld zou moeten doen, is uw DNS-servers door een IT-professional laten configureren om zeer weinig afhankelijk te zijn van relaties met andere DNS-servers. Dit maakt het veel moeilijker voor een cybercrimineel om hun DNS-server te gebruiken om hun doelwitten te corrumperen, wat betekent dat uw eigen DNS-server minder kans heeft om te worden gecorrumpeerd, en daarom is het minder waarschijnlijk dat u (en iedereen in uw organisatie) wordt omgeleid naar een onjuiste website.

U kunt uw DNS-servers bovendien laten configureren om alleen gegevens op te slaan die specifiek betrekking hebben op het aangevraagde domein en om queryreacties te beperken om alleen informatie te geven die ook betrekking heeft op het aangevraagde domein. Het idee is dat de server zo wordt ingesteld dat de vereiste diensten de enige zijn die mogen draaien. Door extra diensten op uw DNS server te hebben draaien die niet nodig zijn, vergroot u de kans op een aanval aanzienlijk.

U moet er ook voor zorgen dat de meest recente versie van de DNS wordt gebruikt. Dit komt omdat de meest recente versies beveiligingsfuncties zullen gebruiken, zoals poort randomisatie en transactie-ID’s die cryptografisch veilig zijn om te helpen waken tegen poisoning-aanvallen.

Een andere belangrijke verdediging tegen DNS cache poisoning, zoals MyEtherWallet adviseerde in een aankondiging na de aanval die terug in april 2018 plaatsvond, is om te zoeken naar de naam van het bedrijf in de adresbalk (dus in hun geval ‘MyEtherWallet Inc’).
Dit betekent dat de site een EV SSL / TLS-certificaat gebruikt. Dit zou helpen voorkomen dat mensen het slachtoffer worden van een vergiftigingsaanval, omdat ze er dan zeker van zijn dat ze hun persoonlijke gegevens niet invoeren op een website van een hacker. Niet alle bedrijven gebruiken EV op hun websites, dus dit is geen waterdichte maatregel, maar het kan een nuttig hulpmiddel zijn wanneer u probeert te bepalen of u op de juiste site bent.

Een SSL/TLS-certificaat is gewoon een klein gegevensbestand dat op een webserver wordt geïnstalleerd en dat de gegevens van uw organisatie aan een cryptografische sleutel kan koppelen. Nadat het is geïnstalleerd, zal het certificaat het HTTPS-protocol activeren om een veilige en versleutelde verbinding tussen een browser en uw webserver mogelijk te maken. In het geval van EV SSL/TLS Certificaten, zullen sommige van die organisatiedetails, inclusief de bedrijfsnaam zoals hierboven vermeld, direct in de browser UI worden weergegeven.

Conclusie

Samengevat is er sprake van DNS cache poisoning wanneer een aanvaller een DNS-server misbruikt om een vervalst DNS-antwoord te verzenden dat door legitieme servers in de cache wordt geplaatst.

Dientengevolge worden gebruikers die het beschadigde domein bezoeken naar een nieuw IP-adres gestuurd dat de hacker heeft geselecteerd, wat meestal een kwaadaardige phishing-website is waar slachtoffers kunnen worden gemanipuleerd om malware te downloaden of inlog- of financiële gegevens te verstrekken.

Het nemen van de bovenstaande stappen helpt uw organisatie te verdedigen tegen DNS cache poisoning-aanvallen.

Note: Dit blogartikel is geschreven door een gastauteur met als doel een bredere variëteit aan content aan te bieden voor onze lezers. De meningen die in dit artikel van een gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.

Plaats een reactie