AMSTERDAM - Nog steeds is één derde van DNS-servers in Nederland niet beveiligd tegen de kritieke Kaminsky-bug. Ook sommige grote providers en bedrijven hebben nog niet gepatcht.

Dat blijkt uit onderzoek van domeinorganisatie SIDN en security-instelling Govcert. Ongeveer één derde van de 'recursive nameservers' in Nederland beschikt nog over ongepatchte DNS-software. Dat is opvallend omdat een oplossing voor het probleem inmiddels al enkele weken beschikbaar is, meldt SIDN.

De noodzaak om te patchen nam vorige week significant toe nadat details over de kwetsbaarheid uitlekten en er niet lang daarna ook de eerste exploits opdoken.

ISP's
SIDN wil om 'voor de hand liggende veiligheidsredenen' niet zeggen om welke isp's of bedrijfsnetwerken het gaat. De organisatie heeft in een aantal gevallen contact opgenomen met providers om ze te informeren over de kwestie.

Govcert is ondertussen druk doende om alle grote en kleine overheidsorganisaties gepatcht te krijgen. Alhoewel dit een behoorlijk arbeidintensief proces kan zijn, hebben de meeste overheidsnetwerken hun DNS-patchschaapjes inmiddels op het droge, meldt Douwe Leguit van Govcert desgevraagd.

Aanvallen
Govcert heeft nog geen aanvallen op kwetsbare servers geconstateerd. Er is de afgelopen dagen wel sprake van een toename in de hoeveelheid DNS-verkeer, maar dat kan evengoed te maken hebben met de wereldwijde patch-activiteiten. Omdat DNS-servers na het aanbrengen van de patch hun gegevens opnieuw moeten ophalen, leidt dat tot extra netwerkverkeer, zegt Leguit. Govcert heeft vorige week een factsheet gepubliceerd met de 'literaire' titel 'De Kaminsky Code' (pdf ).

Dan Kaminsky ontdekte een half jaar geleden een gapend gat in de manier waarop DNS, het systeem dat url's koppelt aan IP-adressen, werkt. Cyberboeven kunnen de bug misbruiken om het tijdelijke geheugen, de cache, van recursieve dns-servers te injecteren met valse adresgegevens, waardoor internetters zonder het te weten kunnen worden omgeleid naar kwaadaardige websites.

Er zijn tientallen leveranciers van DNS-servers, waarvan de meeste meededen met de door Kaminsky geïnstigeerde 'collectieve patchdag' op 8 juli. Sommige systemen waren overigens al langer immuun voor de kwetsbaarheid, zoals OpenDNS, PowerDNS en DJBDNS.