DNS hijacking
DNS hijacking, DNS-kaping, DNS-vergiftiging of DNS-omleiding is de praktijk waarbij de resolutie van Domain Name System (DNS) -query’s wordt ondermijnd. Dit kan worden bereikt door malware die de TCP / IP-configuratie van een computer overschrijft om naar een frauduleuze DNS-server onder controle van een aanvaller te wijzen, of door het gedrag van een vertrouwde DNS-server aan te passen zodat deze niet aan de internetstandaarden voldoet.
Deze wijzigingen kunnen worden aangebracht voor kwaadaardige doeleinden zoals phishing, voor zelfbediening door internetproviders (ISP’s), door de Grote Firewall van China en openbare / routergebaseerde online DNS-serverproviders om het webverkeer van gebruikers naar de ISP’s te leiden eigen webservers waar advertenties kunnen worden weergegeven, verzamelde statistieken of andere doeleinden van de ISP; en door DNS-serviceproviders om de toegang tot geselecteerde domeinen te blokkeren als een vorm van censuur.
Technische achtergrond
Een van de functies van een DNS-server is het vertalen van een domeinnaam naar een IP-adres dat applicaties nodig hebben om verbinding te maken met een internetbron zoals een website. Deze functionaliteit is gedefinieerd in verschillende formele internetstandaarden die het protocol tot in detail definiëren. DNS-servers worden impliciet vertrouwd door computers en gebruikers die op internet zijn gericht om namen correct om te zetten naar de daadwerkelijke adressen die zijn geregistreerd door de eigenaren van een internetdomein.
Rogue DNS-server
Een frauduleuze DNS-server vertaalt domeinnamen van gewenste websites (zoekmachines, banken, makelaars, etc.) naar IP-adressen van sites met onbedoelde inhoud, zelfs kwaadaardige websites. De meeste gebruikers zijn afhankelijk van DNS-servers die automatisch worden toegewezen door hun ISP’s. Zombie-computers gebruiken DNS-veranderende trojans om de automatische DNS-servertoewijzing door de ISP onzichtbaar om te schakelen naar handmatige DNS-servertoewijzing van malafide DNS-servers. De toegewezen DNS-servers van een router kunnen ook worden gewijzigd door misbruik van een kwetsbaarheid binnen firmware van de router. Wanneer gebruikers websites proberen te bezoeken, worden ze in plaats daarvan naar een nep-website gestuurd. Deze aanval wordt pharming genoemd. Als de site waarnaar ze worden doorverwezen een kwaadaardige website is, die zich voordoet als een legitieme website, om frauduleus gevoelige informatie te verkrijgen, wordt dit phishing genoemd.
Manipulatie door ISP’s
Een aantal consumenten-ISP’s (Internet Service Providrs, bij ons aanbieders) zoals AT&T, Cablevision’s Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico , Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat en Telkom Indonesia gebruiken of gebruikten DNS-kaping voor hun eigen doeleinden, zoals het weergeven van advertenties of het verzamelen van statistieken. Nederlandse ISP’s XS4ALL en Ziggo gebruiken DNS-kaping bij gerechtelijk bevel: ze kregen de opdracht om de toegang tot The Pirate Bay te blokkeren en in plaats daarvan een waarschuwingspagina weer te geven. Deze praktijken zijn in strijd met de RFC-standaard voor DNS-reacties (NXDOMAIN) en kunnen gebruikers mogelijk openen voor cross-site scripting-aanvallen (CSS).
De bezorgdheid over DNS-kaping betreft deze kaping van de NXDOMAIN-respons. Internet- en intranetapplicaties vertrouwen op het NXDOMAIN-antwoord om de toestand te beschrijven waarbij de DNS geen vermelding heeft voor de gespecificeerde host. Als men de ongeldige domeinnaam zou opvragen (bijvoorbeeld www.example.invalid), zou men een NXDOMAIN-antwoord moeten krijgen – de applicatie informeren dat de naam ongeldig is en de gepaste actie ondernemen (bijvoorbeeld een fout weergeven of niet proberen om verbinding maken met de server). Als de domeinnaam echter wordt opgevraagd bij een van deze niet-conforme ISP’s, ontvangt u altijd een vals IP-adres van de ISP. In een webbrowser kan dit gedrag vervelend of aanstootgevend zijn, omdat verbindingen met dit IP-adres de ISP-omleidingspagina van de provider weergeven, soms met advertenties, in plaats van een juist foutbericht. Andere toepassingen die afhankelijk zijn van de NXDOMAIN-fout, zullen in plaats daarvan proberen verbinding te maken met dit vervalste IP-adres, waardoor mogelijk gevoelige informatie wordt blootgelegd.
Voorbeelden van functionaliteit die kapot gaat wanneer een ISP DNS kaapt:
- Zwervende laptops die lid zijn van een Windows Server-domein zullen ten onrechte de indruk krijgen dat ze weer op een bedrijfsnetwerk zitten, omdat bronnen zoals domeincontrollers, e-mailservers en andere infrastructuur beschikbaar lijken te zijn. Toepassingen zullen daarom proberen verbindingen tot stand te brengen met deze bedrijfsservers, maar mislukken, wat resulteert in verminderde prestaties, onnodig verkeer op de internetverbinding en time-outs.
- Veel kleine kantoor- en thuisnetwerken hebben geen eigen DNS-server, maar vertrouwen op de naamomzetting van uitzendingen. Veel versies van Microsoft Windows geven standaard prioriteit aan DNS-naamomzetting boven uitzendingen van NetBIOS-naamomzetting; daarom, wanneer een ISP DNS-server een (technisch geldig) IP-adres voor de naam van de gewenste computer op het LAN retourneert, gebruikt de verbindende computer dit onjuiste IP-adres en maakt het onvermijdelijk geen verbinding met de gewenste computer op het LAN. Tijdelijke oplossingen zijn het gebruik van het juiste IP-adres in plaats van de computernaam of het wijzigen van de registerwaarde DhcpNodeType om de volgorde van de naamomzettingsservice te wijzigen.
- Browsers zoals Firefox hebben niet langer de functie ‘Bladeren op naam’ (waarbij trefwoorden die in de adresbalk zijn getypt gebruikers naar de meest overeenkomende site leiden).
- De lokale DNS-client die in moderne besturingssystemen is ingebouwd, slaat resultaten van DNS-zoekopdrachten om prestatieredenen op. Als een client schakelt tussen een thuisnetwerk en een VPN, kunnen valse vermeldingen in het cachegeheugen blijven staan, waardoor een servicestoring op de VPN-verbinding ontstaat.
- Antispamoplossingen van DNSBL zijn afhankelijk van DNS; valse DNS-resultaten verstoren daarom hun werking.
- Vertrouwelijke gebruikersgegevens kunnen worden gelekt door applicaties die door de ISP zijn misleid om te geloven dat de servers waarmee ze verbinding willen maken, beschikbaar zijn.
- De keuze van de gebruiker over welke zoekmachine moet worden geraadpleegd in het geval dat een URL verkeerd wordt getypt in een browser, wordt verwijderd omdat de ISP bepaalt welke zoekresultaten aan de gebruiker worden getoond.
- Computers die zijn geconfigureerd om een gesplitste tunnel met een VPN-verbinding te gebruiken, werken niet meer omdat intranetnamen die niet buiten de tunnel via het openbare internet moeten worden opgelost, zullen worden omgezet in fictieve adressen, in plaats van correct op te lossen via de VPN-tunnel op een privé DNS-server wanneer er wordt een NXDOMAIN-reactie ontvangen van internet. Een e-mailclient die bijvoorbeeld probeert het DNS A-record voor een interne mailserver op te lossen, kan een vals DNS-antwoord ontvangen dat het naar een webserver met betaalde resultaten heeft geleid, met berichten die dagenlang in de wachtrij stonden voor bezorging terwijl tevergeefs werd geprobeerd opnieuw te verzenden.
- Het verbreekt Web Proxy Autodiscovery Protocol (WPAD) door webbrowsers te laten geloven dat de ISP een proxyserver heeft geconfigureerd.
- Het breekt bewakingssoftware. Als iemand bijvoorbeeld periodiek contact opneemt met een server om zijn gezondheid te bepalen, zal een monitor nooit een fout zien tenzij de monitor probeert de cryptografische sleutel van de server te verifiëren.
In sommige, maar niet in de meeste gevallen, bieden de ISP’s door de abonnee configureerbare instellingen om het kapen van NXDOMAIN-reacties uit te schakelen. Correct geïmplementeerd, zet een dergelijke instelling DNS terug naar standaardgedrag. Andere internetproviders gebruiken echter in plaats daarvan een webbrowser-cookie om de voorkeur op te slaan. In dit geval wordt het onderliggende gedrag niet opgelost: DNS-query’s worden nog steeds omgeleid, terwijl de ISP-omleidingspagina wordt vervangen door een vervalste DNS-foutpagina. Andere applicaties dan webbrowsers kunnen niet worden afgemeld voor het schema met behulp van cookies, aangezien de opt-out alleen het HTTP-protocol target, wanneer het schema daadwerkelijk is geïmplementeerd in het protocolneutrale DNS-systeem.
Reactie
In het VK heeft het Information Commissioner’s Office erkend dat de praktijk van onvrijwillige DNS-kaping in strijd is met de PECR en de EG-richtlijn 95/46 inzake gegevensbescherming, die expliciete toestemming vereist voor de verwerking van communicatieverkeer. Ze hebben echter geweigerd in te grijpen, omdat ze beweren dat het niet verstandig zou zijn om de wet te handhaven, omdat dit geen significante (of zelfs geen) aantoonbare schade zou toebrengen aan individuen. In Duitsland werd in 2019 onthuld dat de Deutsche Telekom AG niet alleen hun DNS-servers manipuleerde, maar ook netwerkverkeer (zoals niet-beveiligde cookies wanneer gebruikers geen HTTPS gebruikten) naar een derde partij stuurde omdat het webportaal T- Online, waarbij gebruikers werden omgeleid vanwege de DNS-manipulatie, was niet (meer) eigendom van de Deutsche Telekom. Nadat een gebruiker een criminele klacht had ingediend, stopte de Deutsche Telekom met verdere DNS-manipulaties.
ICANN, de internationale instantie die verantwoordelijk is voor het beheer van domeinnamen op het hoogste niveau, heeft een memorandum gepubliceerd waarin haar bezorgdheid wordt benadrukt en waarin wordt bevestigd:
ICANN raadt ten zeerste het gebruik van DNS-omleiding, jokertekens, samengestelde reacties en elke andere vorm van NXDOMAIN-vervanging in bestaande gTLD’s, ccTLD’s en elk ander niveau in de DNS-boom voor domeinnamen van registerklasse af.
Oplossing
Eindgebruikers, ontevreden over slechte “opt-out” -opties zoals cookies, hebben op de controverse gereageerd door manieren te vinden om valse NXDOMAIN-reacties te vermijden. DNS-software zoals BIND en Dnsmasq bieden opties om resultaten te filteren en kunnen vanaf een gateway of router worden uitgevoerd om een heel netwerk te beschermen. Google voert onder meer open DNS-servers die momenteel geen vervalste resultaten opleveren. Een gebruiker zou dus Google Public DNS kunnen gebruiken in plaats van de DNS-servers van hun ISP als ze bereid zijn te accepteren dat ze de service gebruiken onder het privacybeleid van Google en mogelijk worden blootgesteld aan een andere methode waarmee Google de gebruiker kan volgen. Een beperking van deze aanpak is dat sommige providers externe DNS-verzoeken blokkeren of herschrijven. OpenDNS, eigendom van Cisco, is een vergelijkbare populaire service die de reacties van NXDOMAIN niet verandert.
Google lanceerde in april 2016 de DNS-over-HTTPS-service. Dit schema kan de beperkingen van het verouderde DNS-protocol omzeilen. Het voert externe DNSSEC-controle uit en brengt de resultaten over in een beveiligde HTTPS-tunnel.
Er zijn ook work-arounds op applicatieniveau, zoals de NoRedirect Firefox-extensie, die een deel van het gedrag verminderen. Een dergelijke aanpak lost slechts één applicatie op (in dit voorbeeld Firefox) en lost geen andere problemen op. Website-eigenaren kunnen sommige kapers voor de gek houden door bepaalde DNS-instellingen te gebruiken. Stel bijvoorbeeld een TXT-record van ‘ongebruikt’ in op hun jokerteken (bijvoorbeeld * .example.com). Als alternatief kunnen ze proberen de CNAME van de wildcard in te stellen op “example.invalid”, gebruikmakend van het feit dat ‘.invalid’ gegarandeerd niet bestaat volgens de RFC. De beperking van die aanpak is dat het alleen kaping op die specifieke domeinen voorkomt, maar het kan enkele VPN-beveiligingsproblemen aanpakken die worden veroorzaakt door DNS-kaping.
Hulpbronnen:
DNS hijacking