Domeinnamen beschermen tegen DNS hijacking
| Tijs Hofmans |
Security
Het overnemen van een domeinnaam kan een bedrijf veel schade opleveren, zeker nu steeds meer ondernemingen van hun website afhankelijk zijn. Toch is ‘DNS hijacking’ nog een blinde vlek in veel security practices. Wat is het probleem, en vooral: wat is eraan te doen?
DNS, ook wel het ’telefoonboek van het internet’ genoemd, staat voor Domain Name System, en het zorgt ervoor dat een computer een ip-adres weet te vertalen naar een domeinnaam. Als een hacker het voor elkaar krijgt om zo’n domeinnaam naar een ander ip-adres te laten doorsturen, kan hij bijvoorbeeld bezoekers naar een nepsite brengen. Dat kan een site zijn vol malvertising, maar ook een phishing-website die bijvoorbeeld het inlogportaal van een bank kopieert.
Dat gebeurde bijvoorbeeld in 2014 met een Braziliaanse bank, waar bezoekers urenlang inlogden op een nepwebsite van de bank. De hackers konden zo tienduizenden inloggegevens stelen. Ook kan het erg kostbaar zijn als een website uren of zelfs dagen uit de lucht is – of zelfs jaren, zoals in het geval van het populaire MLA.com.
Registrar
Bij DNS hijacking maken hackers gebruik van een doorgaans zwakke plek in de beveiliging van website: de registrar. Dat is de domeinnaamprovider waar bedrijven hun custom url kunnen registreren. Een registrar zorgt dat zo’n domein wordt doorgezet naar een registry, die erop toeziet dat de verdeling van domeinnamen eerlijk verloopt.
Registrars zoals GoDaddy lopen echter verrassend achter op het gebied van beveiliging. Zij hebben weliswaar hun interne structuur op orde (zoals bescherming tegen brute-force-aanvallen of simpele sql-injecties), maar voor klanten zijn er regelmatig te weinig opties om hun beveiliging te regelen.
Toch slachtoffer van bijvoorbeeld DNS hijacking? Als u met klantdata werkt is het belangrijk te weten wat u moet doen bij een datalek. Lees daarvoor ook onze procedure meldplicht datalekken.
Multi-level-authenticatie
In veel gevallen is het bijvoorbeeld niet mogelijk een registrar-account te nemen met meerdere beheerders – laat staan met verschillende toegangsniveau’s. De meeste registrars bieden slechts één account aan waarmee vervolgens meerdere beheerders moeten inloggen – niet bijzonder veilig.
In zo’n geval is het voor een bedrijf goed om de eigen bedrijfsstructuur nog eens onder de loep te nemen. Zo is het belangrijk te weten wie er eigenlijk toegang heeft tot het account bij de registrar. Is dat één wachtwoord wat door een hele afdeling wordt gebruikt? Als dat het geval is kan het bijvoorbeeld lastig zijn om in de gaten te houden wie allemaal toegang tot dat wachtwoord heeft.
Toegang
Het is in zo’n geval goed om eens naar die toegang te kijken, bijvoorbeeld door de gebruikersnaam en het wachtwoord bij één persoon onder te brengen. Let dan wel op wie dat is: is dat een systeembeheerder, het afdelingshoofd van de ontwikkeling, of toch iemand van het management? Zeker bij die laatste groep mag u zich soms ook afvragen of er wel genoeg kennis over security is om zo’n gevoelige data adequaat te kunnen beschermen.
Afspraken met de registrar
Een andere optie is om zelf afspraken te maken met de registrar. Dat is vaak een stuk ingewikkelder, en, laten we het maar gelijk zeggen: veel duurder. Maar anno 2017 is een goede domeinnaam cruciaal voor veel bedrijven, en kan de schade onvoorstelbaar hoog oplopen. Zeker voor bedrijven die stevig leunen op hun domeinnaam (zoals online diensten, apps of webshops) zijn hogere registrar-kosten al snel te rechtvaardigen als daar betere beveiliging tegenover staat.
Een goed voorbeeld van een bedrijf dat zijn registrar-toegang eens nader heeft bekeken is online kiosk Blendle. De organisatie ging specifiek in gesprek met zijn registrar, juist om de mission critical domains beter te kunnen beschermen. Eén van hun maatregelen is een ‘registrar lock’ waarmee niet iedereen zomaar in het registrar-account kan.
“Als iemand de registrar-lock tijdelijk wil opheffen moet hij toestemming krijgen van een toegewezen vertegenwoordiger, bijvoorbeeld van de juridische afdeling of het management. De registrar neemt telefonisch contact met diegene op, en vraagt om een vooraf vastgelegde wachtwoordzin”, schrijft ontwikkelaar Koen Rouwhorst van het bedrijf.
Persoonlijke wensen
Dat houdt dus wel in dat er persoonlijke wensen met de registrar moeten worden afgesproken. U kunt zorgen dat er altijd iemand persoonlijk contact opneemt bij een inlogpoging, maar dat zullen veel registrars te moeilijk vinden (of het wordt te duur). U kunt daarom ook afspreken dat er alleen contact wordt gelegd als:
- … er een aanpassing in de DNS-records wordt gedaan
- … iemand de inloggegevens of eventuele beheerdersrollen probeert te wijzigen
- … iemand de contactinformatie verandert
- … een meervoudige mislukte inlog- of inbraakpoging voorkomt
Interne bedrijfsstructuur
Met alleen samenwerking met de registrar bent u er nog niet. Het is ook minstens zo belangrijk in uw eigen team uw rollen goed op orde te hebben en na te gaan wie er eigenlijk toegang heeft tot de registrar om er eventueel aanpassingen te doen. Zorg dat die toegang zo beperkt mogelijk is. Let ook op het wachtwoord; dat moet vanzelfsprekend sterk genoeg zijn, en niet voor andere doeleinden worden gebruikt.
Spreiden van risico’s
Sowieso is het spreiden van risico’s een goede maatregel, niet alleen over toegang maar ook over domeinnamen zelf. Afhankelijk van het bedrijf is het mogelijk dat er meerdere domeinen zijn die beschermd moeten worden: het main-domein, een testomgeving, een backupfaciliteit, en mogelijk een intranetportaal. Het kan slim zijn die onder te brengen bij verschillende registrars zodat hackers niet in één keer overal toegang toe hebben.
Tweestapsverificatie
Tweestapsverificatie is ook een punt waar registrars vaak op achterblijven. Met zulke ‘2FA’ heeft u niet alleen gebruikersnaam en wachtwoord nodig om in te loggen, maar ook een extra code zoals een sms’je. Tweefactorauthenticatie is één van de beste manieren om een account te beschermen, maar slechts een handjevol registrars biedt de methode aan. Zie dit artikel voor uitleg over two-factor authenticatie: ‘Enabling two-factor authentication: highly recommended’.
Uiteindelijk is de beste manier om u als organisatie te wapenen tegen DNS hijacking (of het overnemen van uw domeinnaam) om eens goed te kijken naar uw bedrijfscultuur. Hoe zit die eigenlijk in elkaar, en wie heeft er allemaal toegang tot welke niveau’s?
Security practices
Maar het belangrijkste advies is net als al het andere beveiligingsadvies: kijk naar uw protocollen en zorg dat die up-to-date zijn. Weet waar de zwakke plekken in uw organisatie zitten en probeer die weg te nemen, en doe goed onderzoek voor u een registrar kiest. Uw domeinnaam en registrar-toegang zouden daarom deel moeten uitmaken van andere bestaande security
practices. Evalueer die dan ook regelmatig!
We hebben bovenstaande tips even samengevat in dit handige lijstje:
- Spreid websites overal verschillende registrars
- Bekijk de security-protocollen van uw bestaande registrar
- Neem contact op met uw registrar over afspraken met inloggen
- Zorg voor één veilig wachtwoord en bekijk wie dat beheert, en zet 2FA aan (als dat mogelijk is)
- Verdeel de toegangsrollen binnen uw team: wie mag zaken bij de registrar regelen en wanneer?
- Bonus: wat is uw contingency plan? Bedenk wat uw plan is als er tóch iets mis gaat met een domeinnaam.
Afbeelding: Digital Buggu via Pexels
Tijs Hofmans is tech- en ruimtevaartjournalist. Hij schrijft voor diverse techtijdschriften en -websites, en is als freelancer verbonden aan SoftwareZaken om te schrijven over privacy en security. Hij is te bereiken via https://www.tijshofmans.nl