Onderzoeker kreeg controle over vier van zeven nameservers van io-domein

Beveiligingsonderzoeker Matthew Bryant was in staat om vier van de zeven nameservers van het io-domein te registreren, waarmee hij dns-verzoeken voor alle domeinnamen op het domein had kunnen omleiden.

Bryant beschrijft zijn bevindingen in een blogpost. Hij stelt dat de gevolgen groot zijn, omdat er een grote kans was dat mensen verbinding zouden maken met zijn gekaapte nameservers. Zo had hij bijvoorbeeld bezoekers van een legitieme io-site kunnen omleiden naar een kwaadaardige site. Hij legt uit dat het io-tld wel gebruikmaakt van dnssec, waardoor het versturen van aangepaste dns-info niet werkt. De ondersteuning voor de techniek onder providers is echter laag, waardoor dit niet veel had uitgemaakt, aldus Bryant.

Hij ontdekte dat hij de vier nameservers in kwestie kon registreren toen hij op een vrijdagavond verschillende tld's in kaart bracht. Via een api van registrar Gandi kreeg hij een notificatie dat een aantal io-nameservers beschikbaar waren voor registratie. Omdat hij dit vaker had meegemaakt en het doorgaans om loos alarm ging, probeerde hij een van de servers te registreren voor 90 dollar. Vervolgens kreeg hij op woensdag een notificatie dat zijn bestelling was goedgekeurd en dat zijn domeinen actief zijn.

Het bleek dat hij inderdaad de nameserver in handen had en dat hij verzoeken kreeg uit de hele wereld. Als eerste maatregel schakelde hij de BIND-server uit, waardoor de verzoeken werden afgehandeld door de andere servers. Zijn eerste poging om de beheerder van de io-domein via de beschikbare contactgegevens te bereiken, liepen nergens op uit. Als aanvullende maatregel besloot Bryant toen ook de overige nameservers te registreren. Na een telefoongesprek kreeg hij vervolgens het juiste adres om contact te leggen en werden zijn bestellingen de volgende dag teruggedraaid.

Bryant stelt dat ook een snelle respons niet alle schade zou kunnen voorkomen, omdat het vaak een tijd duurt voordat de in de cache opgeslagen resultaten uit de verschillende resolvers zouden verdwijnen.

matthew bryant De bevestiging van de registratie

Door Sander van Voorst

Nieuwsredacteur

Feedback • 11-07-2017 08:12 38

11-07-2017 • 08:12

38

Lees meer

Fritzbox-firmware bevat lek dat inzicht in lokale netwerk kan geven - update
Fritzbox-firmware bevat lek dat inzicht in lokale netwerk kan geven - update Nieuws van 6 juli 2017
Oprichter Pirate Bay komt met anonieme domeinregistratieservice
Oprichter Pirate Bay komt met anonieme domeinregistratieservice Nieuws van 23 april 2017
'Hostnamen voor computers zijn schadelijk voor privacy'
'Hostnamen voor computers zijn schadelijk voor privacy' Nieuws van 14 maart 2017
Beveiligingsbedrijf ontdekt trojan die communiceert via dns
Beveiligingsbedrijf ontdekt trojan die communiceert via dns Nieuws van 3 maart 2017
SIDN: banken scoren nog steeds slecht op dnssec-beveiliging
SIDN: banken scoren nog steeds slecht op dnssec-beveiliging Nieuws van 21 februari 2017
Meer producten en artikelen
Netwerk en systeembeheer Dns Domeinnaam

Reacties (38)

-Moderatie-faq
38
38
22
2
1
9
Wijzig sortering
T-MOB 11 juli 2017 08:35
Ik vond het een raar verhaal dat je een server zou kunnen overnemen door hem te registreren. Maar het gaat eigenlijk alleen maar om de domeinnamen van 4 van de 7 authoratieve name servers. Slordig van de legitieme beheerders.
Kees BOFH
@T-MOB11 juli 2017 08:54
Dat komt omdat als ik het adres van bijvoorbeeld draw.io wil achterhalen ik aan de rootservers vraag wie er verantwoordelijk is voor het .io top-level domein. Op die vraag krijg ik als antwoord "ns-a1.io. ns-a3.io. a0.nic.io. ns-a2.io. ns-a4.io. c0.nic.io. b0.nic.io.". Hiervan zijn een aantal subdomeinen van ni.io en een aantal 'normale' domeinen.

Als je die domeinen kan registreren dan kun je de DNS ervan aanpassen, als je de DNS ervan kan aanpassen kun je het naar je eigen server laten wijzen en kun je zelf bepalen hoe je reageert op DNS en heb je dus controle over de nameserver van het .io domein.

Het is dus niet 'fysiek' de controle van een server overnemen maar via de dns jouw eigen server als nameserver inzetten
.oisyn Moderator Devschuur® @Kees11 juli 2017 10:15
Op die vraag krijg ik als antwoord "ns-a1.io. ns-a3.io. a0.nic.io. ns-a2.io. ns-a4.io. c0.nic.io. b0.nic.io
Dat is toch vreemd? Je wilt weten wie er verantwoordelijk is voor .io, en dan krijg je vervolgens een aantal .io domeinen terug... Waarvoor je eerst dus weer moet weten wie er verantwoordelijk is voor .io. Hoe kom je dan ooit bij een daadwerkelijk ip uit?
zeroxcool @.oisyn11 juli 2017 10:40
Mooi kip en ei probleem hè ;]. Dit wordt opgelost door zogenaamde 'glue' toe te voegen. Dat wil zeggen dat het antwoord waarvoor een nameserver in-bailiwick is, glue - in de vorm van IP adressen - mag toevoegen.

Dus de root nameservers zullen, wanneer je de NS records van het io domein opvraagt en er nameservers zijn die onder het io domein vallen, de IP adressen toevoegen van die nameservers.

Deze glue IP adressen zijn dan ook bij de registrar doorgegeven.

Je ziet dit ook wanneer je NS records opvraagt:

$ dig ns io @a.root-servers.net
;; AUTHORITY SECTION:
io. 172800 IN NS a0.nic.io.
io. 172800 IN NS b0.nic.io.
...

;; ADDITIONAL SECTION:
a0.nic.io. 172800 IN A 65.22.160.17
b0.nic.io. 172800 IN A 65.22.161.17
...

Alles in de additional section is dus toegevoegde glue.

[Reactie gewijzigd door zeroxcool op 29 juli 2024 13:11]

.oisyn Moderator Devschuur® @zeroxcool11 juli 2017 11:22
(en ook @Kees)
Deze glue IP adressen zijn dan ook bij de registrar doorgegeven.
Ok wacht, dus .io stond het niet alleen toe dat je hun nameservers kon registreren, ze stuurden de ip's die jij instelde vervolgens ook doodleuk door naar de rootservers? Wat een clusterfuck 8)7

[Reactie gewijzigd door .oisyn op 29 juli 2024 13:11]

zeroxcool @.oisyn11 juli 2017 13:40
Of het systeem van .io zó gemakkelijk was in het doorgeven van glue voor die vier top-level nameservers naar de root nameservers durf ik niet te zeggen. Bij een gemiddelde registrar is dit een automatisch proces via het EPP protocol, ik weet niet hoe de root servers dit regelen.

Het voordeel wat Bryant heeft gebruikt, is om een nameserver onder een .com domein te pakken. Waardoor de .io nameservers geen glue hiervoor mogen distribueren.
Kees BOFH
@.oisyn11 juli 2017 10:30
De rootnameserver stuurt ook alle IPadressen van de nameservers voor nic.io mee in een 'additional records' antwoord op je query.
Eagle Creek @Kees11 juli 2017 09:19
Ik vind de schrijfwijze inderdaad wat verwarrend en snap wat T-MOB bedoelt. Het is niet zozeer dat de nameservers zijn geregistreerd maar dat de geregistreerde domeinen van de nameservers beschikbaar waren.

Onderaan de streep had het volgens mij hetzelfde effect. Desalniettemin heeft Bryant, als ik het goed begrijp, alsnog een eigen server moeten opzetten en die koppelen aan de overgenomen domeinnamen, om überhaupt iets met de dienst te kunnen. Al had hij de namen geregistreerd en naar 127.0.0.1 laten verwijzen waren de nameservers simpelweg "onbeschikbaar".

Toch.. ? :) (CMIIW)
Kees BOFH
@Eagle Creek11 juli 2017 09:27
Klopt, alleen heeft hij ze naar zijn eigen server laten verwijzen (en wijselijk zijn DNS resolver daar onbruikbaar gemaakt) zodat hij kon zien of het ook echt werkte.

Dat is beter dan het naar 127.0.0.1 laten verwijzen want je weet niet wat een gebruiker allemaal op zijn localhost heeft draaien en het zou zo kunnen dat voor een aantal mensen alle .io domeinen dan ineens onbereikbaar waren.
FreshMaker @T-MOB11 juli 2017 08:54
Ik vond het een raar verhaal dat je een server zou kunnen overnemen door hem te registreren. Maar het gaat eigenlijk alleen maar om de domeinnamen van 4 van de 7 authoratieve name servers. Slordig van de legitieme beheerders.
Alleen maar ...
Maar wel DE manier om een domein te bereiken.
Waarom zoiets niet op auto renew staat snap ik niet, ik heb een paar domeinen in gebruik die persé wil vasthouden.
Die staan op 10 jarige auto-renew, ik begrijp niet dat dat met zulke (nog belangrijkere) zaken gedaan wordt inderdaad
Kees BOFH
@FreshMaker11 juli 2017 09:11
Sterker nog, waarom kun je uberhaubt die domeinen registreren? Het is niet alsof nic.io niet de volledige controle over .io domeinen heeft dus inclusief de mogelijkheid ze 'reserved' te maken en nooit te laten verlopen.
kr4t0s @T-MOB11 juli 2017 10:28
Ah, wat is slordig, kom net deze gem tegen. 8)7

#dig @8.8.8.8 dkd.sectorloket.nl

Voor Windows gebruikers:
>nslookup dkd.sectorloket.nl 8.8.8.8

Ik moest lachen.

[Reactie gewijzigd door kr4t0s op 29 juli 2024 13:11]

Yarisken @kr4t0s11 juli 2017 11:42
Lol wtf je zou denken dat private ranges toch niet toegelaten zijn ;-)
GrooV @kr4t0s11 juli 2017 12:15
Wat is daar mis mee? Externe adressen voor lokalen ip's worden vaak zat gebruikt, helemaal als je internet domein een echte extensie geeft
ExIT @kr4t0s11 juli 2017 12:18
Domein om werknemers eenvoudig met de webapp op het intranet te laten verbinden, maar enkel vanuit kantoor?
R4gnax @ExIT11 juli 2017 19:41
Domein om werknemers eenvoudig met de webapp op het intranet te laten verbinden, maar enkel vanuit kantoor?
Dat kun je ook via de routering en firewalls binnen het bedrijfsnetwerk zelf afhandelen.

Routerfabrikanten voor consumenten flikken dit zelfs. Asus, bijvoorbeeld, bakt in al hun consumentenrouters een router.asus.com subdomein in wat naar het LAN IP adres verwijst van de router zelf, zodat consumenten altijd makkelijk bij de web interface kunnen komen.

[Reactie gewijzigd door R4gnax op 29 juli 2024 13:11]

ExIT @R4gnax11 juli 2017 21:00
Niet elk bedrijf heeft interesse om intern een DNS server te draaien om 1 subdomein intern beschikbaar te maken, of een router welke een subdomein van een externe TLD kan verzorgen. En als je extern toch al de DNS van je domein (site) draait, waarom daar dan geen 1 extra A record? Blijft alles lekker bij elkaar, maakt het beheer later ook alleen maar makkelijker. Het geeft een klein beetje rekon weg aan crackers op zijn slechts. Verder toch niks mis mee?
frickY @kr4t0s11 juli 2017 13:00
8.8.8.8 is een DNS server in beheer van Google.

Waarschijnlijk gewoon een eenvoudige manier om intern de DNS server van Google te gebruiken, maar dat in de toekomst eenvoudig naar een andere server te kunnen wijzigen. zonder alle leases te hoeven renewen.

Al is een TTL van 12 uur mijn inziens dan niet helemaal logisch gekozen.

Oh hij resolved niet naar 8.8.8.8, dat is de nameserver die jij gebruikt. Hij resolved naar 192.168.73.73.
Laat maar ;)

[Reactie gewijzigd door frickY op 29 juli 2024 13:11]

mmniet 11 juli 2017 08:16
Voor diegene die het net als mij niet wisten, maar .IO is het topleveldomein van Brits Indische Oceaanterritorium.

https://nl.wikipedia.org/wiki/.io
MrDayOff @mmniet11 juli 2017 08:20
Wat veel gebruikt wordt door online games zoals splix.io blockor.io etc.
guysp @MrDayOff11 juli 2017 08:22
Komt vooral om het een 'hippe' domeinextensie is. (IO = Input Output)
NLxAROSA @guysp11 juli 2017 08:43
Hip in 2015, tegenwoordig is .ai helemaal hot. Wel bijblijven hè. :+
Martinspire @NLxAROSA11 juli 2017 09:13
.ai is the Internet country code top-level domain (ccTLD) for Anguilla.
Anguilla (/æŋˈɡwɪlə/ ang-GWIL-ə) is a British overseas territory in the Caribbean.[3] It is one of the most northerly of the Leeward Islands in the Lesser Antilles, lying east of Puerto Rico and the Virgin Islands and directly north of Saint Martin
Waarom dat soort eilandjes allemaal een eigen top-extensie hebben gekregen is me nog niet helemaal duidelijk. En dat terwijl er nog legio landen zijn met een .co.<land> extensie (als gemeengoed)
.oisyn Moderator Devschuur® @Martinspire11 juli 2017 10:11
En dat terwijl er nog legio landen zijn met een .co.<land> extensie (als gemeengoed)
Die snap ik niet helemaal. Hoezo "en dat terwijl..."? Wat heeft dat te maken met eilandengroepen die een eigen extensie hebben? Als een land ervoor kiest dat er niet direct geregistreerd kan worden onder hun TLD dan is dat toch hun goed recht?
GrooV @Martinspire11 juli 2017 12:19
Alle domeinen worden afgeleid van een landcode, vast gelegd in ISO 3166-1 https://nl.wikipedia.org/wiki/ISO_3166-1

Dat jij een eilandje niet kent wil niet zeggen dat ze natuurlijk niet bestaan en nergens recht op hebben.

Verder is de .co.* een keuze die ze zelf maken. .uk had ook gewoon alle domeinen op .uk kunnen zetten. In Nederland had je vroeger zelfs dat particuliere domeinen altijd een nummer moesten hebben. Dus dan krijg je tweakers.123.nl, zie nieuws: Domeinen voor particulieren 15 november beschikbaar
batjes @Martinspire11 juli 2017 13:52
Amsterdam heeft ook zijn eigen top extensie, waarom zo'n eiland niet?
.oisyn Moderator Devschuur® @batjes11 juli 2017 13:59
amsterdam heeft een TLD gekocht, net zoals jij dat kan doen. De eilandengroep heeft hun TLD gewoon gekregen van de ICANN. Niet dat dat laatste onterecht is, maar het is dus compleet onvergelijkbaar.
Tijgertje @MrDayOff11 juli 2017 08:45
Niet te vergeten: agar.io en slither.io!
Neko Koneko @Tijgertje11 juli 2017 09:11
Cornhol.io :+
Xessive @Neko Koneko11 juli 2017 10:04
_/-\o_
Martinspire @Tijgertje11 juli 2017 09:14
Was eigenlijk ook maar een korte hype imo. Andere .io games hebben hard gefaald.
darknessblade @mmniet11 juli 2017 08:20
niet te vergeten dat het wordt gebruikt door criminelen voor fake phishing sites.
die vol malware zijn gestopt.

en alle zijn via deze "service/provider" aangevraagd
en hebben via whois identieke info:
http://whois.domaintools.com/whoisguard.com
-------------
weet niet tot in hoeverre het crimineel is, maar het is wel verdacht.
guidogast @darknessblade11 juli 2017 08:23
Wordt ook veel gebruikt voor scripts of software: bijvoorbeeld: brackets.io of atom.io (beide text editors)
ATS @guidogast11 juli 2017 08:47
En ook door Qt.io, wat aan de basis ligt van best wel veel software wereldwijd.
mvd64 @darknessblade11 juli 2017 08:27
WhoisGuard wordt gebruikt om gebruikersinfo af te schermen, is redelijk standaard tegenwoordig. Ik wil ook niet dat al mijn info gescraped wordt dmv whois en ik platgespammed word.
darknessblade @mvd6411 juli 2017 10:45
en wat verklaart het dan dat veel phishing sites dan via whoisguard worden gebruikt?

waarom stopt WhoisGuard die sites dan niet?
GrooV @darknessblade11 juli 2017 12:21
Omdat Whois Guard niet op de stoel van een rechter gaat zitten. Als je een probleem hebt dan stuurt Whois guard dat netjes door, en als je een rechtelijk bevel hebt dan zullen ze dat ook uitvoeren. Maar die gaan zelf niet beslissen of proactief handelen.
mvd64 @darknessblade13 juli 2017 11:27
WhoisGuard is gewoon een soort extra functie, die je krijgt bij het kopen van een domeinnaam. Natuurlijk is het fijn voor mensen die illegale dingen doen dat je niet meteen kan zien wie ze zijn (als ze al legitieme info hebben ingevuld...).
Misschien moet je gewoon even lezen wat WhoisGuard precies is: http://www.whoisguard.com/
What is WhoisGuard™?

Everyday domain owner's information is harvested by spammers from publicly available whois to send spam. WhoisGuard avoids this issues by placing our information in whois and provides an option to redirect email and regular mail to the customer's real address. During the process of transferring the email, we try to avoid obvious junk email and regular mail, thus relieving the customer from junk.
How to Obtain WhoisGuard?

WhoisGuard protection can be obtained as an addon to domains registered at our partner registrars.

How Does WhoisGuard™ Work?

We place our information in public whois so that your information is not available to spammers. We don't cut off legitimate contacts by passing on valid mail and emails.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq