Vinder DNS-lek: "Patch. Vandaag. Nu."
De ontdekker van een gevaarlijk lek in de DNS-software van Windows, Mac OS X en Linux doet een noodoproep: “Patch. Vandaag. Nu.”
Veiligheidsonderzoeker Dan Kaminsky vond de kwetsbaarheid begin dit jaar bij toeval en besefte direct hoe gevaarlijk zij was. Boosdoeners konden het systeem dat webadressen vertaalt naar IP-adressen zo voor de gek houden en op grote schaal websites omleiden naar andere bestemmingen zonder dat bezoekers dat door hadden.
Hij hield zijn kostbare ontdekking in eerste instantie geheim en stapte eerst naar de softwaremakers die het meest betrokken waren. Veiligheidsonderzoekers kunnen dit soort lekken voor veel geld verkopen aan commerciële bedrijven.
Nadat Kaminsky een half jaar lang samen met ruim tachtig bedrijven een stroom van gesynchroniseerde patches klaarstoomde, trad hij begin naar juli naar buiten. Hij weigerde details te verstrekken en vroeg zijn collega’s om niet openlijk te speculeren over de aard van het lek. Hij beloofde om dertig dagen later tijdens Black Hat, een hackersconferentie in Las Vegas, zijn bevindingen openbaar te maken.
Goede gok
Halvar Flake, een collega-specialist, zag weinig heil in het dringende verzoek van Kaminsky en publiceerde afgelopen maandag op zijn blog wat hij als de blauwdruk van de kwetsbaarheid beschouwt. Hij blijkt een goede gokker, want Kaminsky schreef nog dezelfde dag op zijn eigen webjournaal: “Patch. Vandaag. Nu.”
Flake is verrast dat hij het bij het juiste eind had en bestrijdt dat hij criminelen een directe manier in handen heeft gegeven om massaal websites aan te vallen. “Raden hoe iets is uitgevoerd is eenvoudig zodra je weet dat het mogelijk is. Mijn gok komt niet eens in de buurt van wat Dan heeft gedaan.”
Eerste slachtoffer
Het eerste slachtoffer van de gevaarlijke achterdeur lijkt al te zijn gevallen. Hostingbedrijf Worldwide DNS kreeg dinsdagavond een distributed denial of service-aanval te verwerken. The Inquirer ziet verband met het Kaminsky-lek, al is het onduidelijk of dit het gekozen wapen was van de aanvallers.