Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 33, views: 24.295 •

Een hacker is er in geslaagd om in Pakistan de dns-entries te wijzigen van 284 websites met een .pk-domein. Hierdoor werden bezoekers van de getroffen websites, waaronder de Pakistaanse sites van Google, Microsoft en Apple, omgeleid naar een website van de aanvaller.

De hacker zou er in zijn geslaagd om dns-wijzigingen door te voeren voor honderden websites met een .pk-extensie. Hierdoor verwezen de dns-records van in totaal 284 websites naar de dns-server freehostia.com. Bezoekers werden vervolgens doorgestuurd naar een pagina waarop te lezen was dat de betreffende Pakistaanse website zou zijn gekraakt. Onder andere de websites microsoft.pk, apple.pk, paypal.pk, ebay.pk en cisco.pk waren slachtoffer van de gewijzigde dns-entries in de systemen van MarkMonitor. Inmiddels is een deel van de getroffen websites weer te bereiken.

Het is nog niet geheel duidelijk wie de aanvallen heeft uitgevoerd, maar er zijn aanwijzingen dat een Turkse hacker onder het alias Eboz verantwoordelijk is. Ook lijkt het er op dat de hacker geen politieke motivaties heeft bij deze aanval.

Hoe de aanvaller de dns-records van de Pakistaanse websites heeft kunnen wijzigen, is nog niet duidelijk, al zijn er aanwijzingen dat de aanval via de Pakistaanse registrar PKNIC is verlopen. De getroffen domeinen zouden echter weer worden beheerd door de Amerikaanse firma MarkMonitor.

Reacties (33)

Vergelijk DNS met een telefoonboek: je zoekt op een naam, en je krijgt een telefoonnummer. Wordt dat telefoonboek (door een hacker) aangepast, dan krijg je een ander telefoonnummer bij dezelfde naam. DNS entries zijn vergelijkbaar met die regels in het telefoonboek (naam - nummer). Een DNS entry koppelt een naam aan een IP adres (= het adres waar je op het internet bereikbaar bent).

Je denkt dus dat je belt met dhr. Jansen, maar eigenlijk bel je met dhr. Kwaadinzin. Als je trouwens het telefoonnummer van dhr. Jansen uit je hoofd wist, kon je dit eenvoudig voorkomen door direct het nummer te draaien en niet het telefoonboek gebruiken.

Hoe dit exact voorkomen kan worden, weet ik niet. Maar er zullen vast wel andere Tweakers zijn die dit wel kunnen uitleggen.
DNS Sec is ge´ntroduceerd om cache poisoning te voorkomen. Er wordt dan gebruik gemaakt van PKI om de bron te controleren. Het is alleen nog niet overal uitgerold. Of het zou werken in dit geval weet ik niet. Gezien dat de aanvaller hier de echte bron overnam (en niet voor man-in-the-middle ging) zou het certificaat goedgekeurd kunnen worden.

Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation
DNSSEC kan dit soort aanvallen voorkomen, met een paar voorwaarden:
* De chain of trust is tot aan de root aanwezig voor .pk. Anders verwijdert de hacker simpelweg de DS records voor onderliggende zones en dan zijn deze weer inssecure (dus zonder DNSSEC).

* De private keys voor de .pk zone zijn veilig opgeborgen waar de hacker er niet bij kan. Anders kan de hacker de zone zelf signen. Dat is niet heel ingewikkeld als je de key hebt.

* Degene die de website wil benaderen gebruikt DNSSEC validating resolvers. Anders wordt DNSSEC gewoon genegeerd.

Zoals te zien is op http://dnsviz.net/d/pk/dnssec/ is de .pk zone niet secure.

Als dit voor bijvoorbeeld .nl zou gebeuren en je hebt een DNSSEC validating resolver (voor zover ik weet hebben in Nederland alleen t-mobile en lijbrandt dit aan staan op hun nameservers), zou je geen website te zien krijgen. Op het moment dat een record BOGUS wordt verklaard zal de nameserver namelijk een SERVFAIL response teruggeven.
Met deze aanval wordt bedoeld dat er is geknoeid en dat het verkeer naar andere sites is geleid.

Je kan het vergelijken met dat als je www.google.nl in je browser intypt je terecht komt op www.hackemehelemaalplat.com (fictieve URL) en dat daar op de index pagina allemaal malware staat die dan automatisch op je PC wordt geladen.

Een DNS entry is een verwijzing in een DNS server. DNS vertaalt ip adressen naar een naam. Deze zijn blijkbaar veranderd.
Hoe het voorkomen kan worden krijgen wij niet te weten; we weten immers niet hoe het kan dat het is aangepast.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013