abonneren

Dns-hijacking: Alles over het kapen van domeinnamen

Dns-hijacking
Voor vrijwel elk bedrijf is een goede domeinnaam cruciaal. Zo herkennen klanten het bedrijf en wordt geld verdiend met de webshop. Maar wat als je die domeinnaam kwijtraakt? Dns-hijacking is een groot, maar vaak onderschat risico.

Wikileaks staat erom bekend dat klokkenluiders er anoniem kunnen lekken, en dat zegt wat over de veiligheid. Daar schepte de site in 2017 dan ook flink over op, tot een notoire hackersgroep genaamd OurMine de site tijdelijk wist over te nemen om aan te tonen dat zelfs Wikileaks te hacken was.

Iets soortgelijks gebeurde in 2014 bij lifestyleblogster Jordan Reid, die haar kostbare domein verloor nadat hackers via haar hostingprovider de controle over haar site wisten over te nemen. Die actie was echter een stuk minder ludiek.

Dichter bij huis sloeg het noodlot in 2017 toe bij Fox-IT, misschien wel het bekendste cybersecuritybedrijf van ons land. Fox-IT heeft onder meer de Nederlandse overheid in zijn klantportfolio en beschermt bijvoorbeeld de communicatie van politici. Dat is dus een partij die zijn beveiliging wel op orde heeft, zou je denken.

Toch werd het bedrijf een halfjaar geleden getroffen door een aanval waardoor de website tijdelijk werd overgenomen door aanvallers. “Het is niet de vraag óf, maar wannéér je als bedrijf slachtoffer wordt van een hack”, schreef het bedrijf in een blogpost waarin het uitlegt wat er gebeurde. En dat leek hier inderdaad het geval.

Waarom?

De bovenstaande aanvallen zijn voorbeelden van zogeheten ‘dns-hijacking’, een proces waarbij een domeinnaam wordt gekaapt door de domein-registrar aan te vallen. Er zijn legio voorbeelden bekend waarbij kwaadwillenden niet alleen toegang krijgen tot de achterkant van een site, maar ook een domeinnaam ergens anders naartoe kunnen doorsturen, bijvoorbeeld een pornosite of een pagina vol advertenties. In sommige gevallen kan dns-hijacking worden gebruikt om geld te verdienen; stuur lezers van een bekend domein door naar je eigen domein dat vol staat met ads en je verdient snel aan de soms hoge bezoekcijfers.

In andere gevallen kan dns-hijacking worden gebruikt voor de verspreiding van malware (via ‘malvertising’, malware die via advertentienetwerken wordt verstuurd), of juist om een boodschap uit te dragen, zoals in het geval van de New York Times, dat door Syrische hackers werd overgenomen. Het gevaar van dns-hijacking wordt steeds groter, maar registrars blijven opvallend achterlopen met hun beveiliging.

Dns wordt ook wel het ‘telefoonboek van het internet’ genoemd. Dit Domain Name System vertaalt een domeinnaam naar een ip-adres van een server, zodat een gewone gebruiker geen reeks cijfers hoeft te onthouden, maar simpelweg naar Google.com of PCMweb.nl kan en op de juiste site terechtkomt. Dns is een belangrijk deel van de infrastructuur van internet, maar ook een notoir zwak punt. Een groot deel van de dns-adressen wordt bijvoorbeeld beheerd door een handjevol bedrijven.

Registrars concurreren doorgaans eerder op prijs dan op veiligheid

Dat dat weleens misgaat, blijkt uit de aanval op DynDNS, een van die bedrijven. Dat bedrijf werd eind 2016 het doelwit van de grootschalige aanval van het Mirai-botnet.

Door honderdduizenden op internet aangesloten slimme apparaten in een grote ddos-aanval te gebruiken, was een groot aantal websites – waaronder Twitter en Reddit – ruim een dag onbereikbaar. De aanval gaf niet alleen aan hoe gevaarlijk het notoir slecht beveiligde Internet of Things is, maar ook hoe de bereikbaarheid van het internet een paar zwakke punten kent.

Maar dns heeft nog een ander zwak punt: het wordt verzorgd door registrars die doorgaans meer op prijs concurreren dan op andere punten, zoals beveiliging.

Zo werkt het

Dns-hijacking kan op twee manieren van die zwakte gebruikmaken. Aan de ene kant is het mogelijk om een individuele gebruiker aan te vallen en via zijn of haar computer of router de dns-instellingen aan te passen. Via malware of een trojan is het dan mogelijk om de computer zo te manipuleren dat domeinnamen niet naar het juiste ip-adres worden vertaald. Je kunt op die manier zorgen dat bepaalde websites die de gebruiker intypt (of zelfs allemaal) worden vertaald naar het ip-adres van je eigen website, die bijvoorbeeld vol staat met spam of malware, of naar een phishing-website.

Een interessantere methode is echter om hele websites over te nemen via dns-hijacking. Hackers gaan daarbij achter een specifiek domein aan. Daar hebben ze verschillende motieven voor. Phishing is daar een belangrijk voorbeeld van: het is dan mogelijk om bijvoorbeeld de website van een bank te kopiëren naar een nepdomein en op die manier inloggegevens te stelen. In andere gevallen worden bezoekers doorgestuurd naar een website vol advertentienetwerken. In het beste geval wordt daar ‘gewoon’ geld mee verdiend, maar in het ergste geval gaat het om malvertising en wordt zo’n site gebruikt om malware te verspreiden.

Ook is het mogelijk dat hackers een domein stelen om de domeinnaam vervolgens door te verkopen aan de hoogste bieder of om de eigenaar af te persen, maar omdat het voor de originele eigenaar (al dan niet na veel moeite) vaak mogelijk is om een website terug te krijgen, komt dat niet heel vaak voor. Belangrijker is de motivatie van hackers, die dns-hijacking gebruiken om een (politieke) boodschap te verzenden naar bezoekers van een website. Dat laatste gebeurde bijvoorbeeld toen de site van de New York Times werd overgenomen.

Dns-hijacking

We legden eerder al uit hoe hackers via dns-hijacking op de computer van een individuele gebruiker kunnen binnendringen om de dns-records aan te passen. Dat gebeurt doorgaans met malware die bijvoorbeeld via een phishing-aanval wordt verstuurd. Maar om een specifieke site te hacken moet je ergens anders zijn, namelijk de registrar – en dat is wel even andere koek.

Dns-hijacking is een populaire methode voor hackers omdat de domein-registrar voor veel websites nog een zwak punt in de beveiliging is. Websitebeheerders doen vaak veel moeite om hun websites aan hun eigen kant te beschermen met back-ups en strakke regels op het gebied van inloggen, maar bij de registrar ontbreekt die urgentie soms nog – en daar maken aanvallers dankbaar gebruik van. Weinig registrars bieden bijvoorbeeld tweestapsverificatie aan, en het is meestal niet mogelijk om verschillende inlogaccounts te maken (laat staan accounts met verschillende rechtenniveaus).

Er zijn diverse methodes om bij de registrar van een bedrijf of webdienst binnen te dringen. Phishing is een populaire: één medewerker die in een aanval trapt kan al genoeg zijn om een domeinnaam over te nemen. Bij het merendeel van dergelijke aanvallen staat de identiteit van de beheerder centraal en zoeken aanvallers naar een manier om die te ‘spoofen’.

Brute force-aanvallen hebben bijvoorbeeld geen zin; je moet het als aanvaller immers doen overkomen alsof je zelf de eigenaar bent. Social engineering, een techniek waarbij hackers mensen manipuleren, is daarom een populaire methode die bij hacking in het algemeen vaak werkt. In een persoonlijk contact met een helpdeskmedewerker kan een hacker via bijvoorbeeld beveiligingsvragen toegang tot het account krijgen, of door informatie te gebruiken die uitgerekend via een phishing-aanval is binnengehaald.

Maatregelen tegen dns-hijacking

Registrars hebben vanzelfsprekend een belangrijke verantwoordelijkheid om social engineering te herkennen, maar er zijn ook extra veiligheidsmaatregelen mogelijk die vaak niet worden aangeboden. Daarom ligt een even zo groot deel van die verantwoordelijkheid bij de websitebeheerder zelf. Er zijn een paar maatregelen die zij kunnen nemen om hun domein tegen dns-hijacking te beschermen – al blijft de beveiliging van registrar-toegang voor veel beheerders nog een blinde vlek.

Eén bedrijf waarvoor dat in elk geval niet geldt, is online kiosk Blendle, dat erg afhankelijk is van de domeinnaam en waar de websitebeheerders dan ook extra aandacht gaven aan de bescherming. Dat blijkt uit een uitgebreide blogpost die de ontwikkelaars schreven over het onderwerp.

Zo heeft Blendle multifactor-authenticatie ingesteld; niet alleen als app of sms-code, maar ook in de interne bedrijfsstructuur. Dat betekent dat iemand anders binnen de organisatie altijd toestemming moet verlenen als een ontwikkelaar iets wil veranderen. Daarvoor heeft de registrar bepaalde ‘locks’ ingesteld die niet zomaar zijn op te heffen.

“Als iemand de registrar-lock tijdelijk wil opheffen, moet hij toestemming krijgen van een toegewezen vertegenwoordiger, bijvoorbeeld van de juridische afdeling of het management. De registrar neemt telefonisch contact met diegene op en vraagt om een vooraf vastgelegde wachtwoordzin”, schrijft ontwikkelaar Koen Rouwhorst van het bedrijf.

Het is dan ook belangrijk en verstandig om binnen de organisatie beleid op te stellen waarin toegang tot de registrar is vastgelegd

Het is dan ook belangrijk en verstandig om binnen de organisatie beleid op te stellen waarin toegang tot de registrar is vastgelegd. Mogen alle ontwikkelaars dat? Of alleen het afdelingshoofd? Hoe zit het met de systeembeheerder? En het management? Weet die laatste groep wel genoeg van cybersecurity om deze verantwoordelijkheid te dragen?

Onlangs begon websitebeveiliger Cloudflare een eigen registrar die uitgerekend met dergelijke veiligheidsmaatregelen in het hoofd opgezet was. Zo is het bijvoorbeeld verplicht dat meerdere beheerders tegelijk autorisatie geven voor het inloggen of het doorvoeren van wijzigingen.

Ook het spreiden van risico’s is een goede methode om websites te beschermen. Veel bedrijven, zeker die bovengemiddeld afhankelijk zijn van hun website (zoals uitgevers, webwinkels of hardwarefabrikanten die ook bijbehorende apps ontwikkelen), hebben vaak meerdere domeinen in omloop. Dat zijn niet alleen domeinen zoals de homepage, maar ook testomgevingen of back-upfaciliteiten. Het is in zo’n geval slim die verschillende domeinen bij verschillende registrars onder te brengen. Weet iemand bij één daarvan binnen te dringen, dan blijft de aanvalsomgeving (en daarmee de reikwijdte van de schade) beperkt.

Beperkingen

Daarbij lopen beheerders vaak wel tegen de beperkingen van registrars op. Het is opvallend dat veel registrars weinig extra beveiligingsmaatregelen voor klanten aanbieden, zoals multilevel-autorisatie (met één hoofdbeheerder die meer rechten heeft dan andere teamleden). In het geval van Blendle werd dat bijvoorbeeld specifiek met de registrar afgesproken, maar dat is niet de standaard (en kost waarschijnlijk ook flink meer geld).

Een ander probleem is tweestapsverificatie. Daarmee is het mogelijk een (registrar-)account te beschermen met méér dan alleen een wachtwoord – bijvoorbeeld een sms of telefoontje met een code erin, of een one-time password-app als Google Authenticator. De meeste webdiensten en apps bieden die mogelijkheid inmiddels wel aan – er is geen enkel sociaal netwerk waar je 2fa (two-factor authentication) niet kunt aanzetten. Bij banken is dat zelfs de norm geworden.

Registrars blijven echter flink achter op dit gebied. Er is slechts een klein aantal registrars waar de mogelijkheid tot tweestapsverificatie überhaupt bestaat, laat staan dat het de standaard is. Fox-IT wijt hun hack van 2017 dan ook aan het gebrek aan 2fa bij de registrar.

Dns-hijacking is een probleem dat met de juiste beveiligingsmaatregelen relatief goed te voorkomen is, maar wat tegelijk heel veel schade kan veroorzaken als het onverhoopt tóch misgaat. Veel oplossingen zouden echter bij de registrar moeten liggen, maar die laten nog regelmatig steken vallen op beveiligingsgebied. Bedrijven die zich willen beschermen tegen dns-hijacking (en dat zijn er steeds meer) doen er daarom goed aan om hun eigen processen nog eens goed na te kijken en sneller te wisselen van registrar. Misschien dat die dan wél zijn verantwoordelijkheid neemt.

Geschreven door: Tijs Hofmans op

Category: Nieuws, Security

Tags: Hack, website, Hosting, Security, Dns