Beantwoord

Very Bad KPN DNS Nameserver Spoofability Test

  • 15 augustus 2018
  • 8 reacties
  • 169 keer bekeken

Hallo,

Ondanks dat ik e.e.a. niet begrijp van de conclusie uit deze test op https://www.grc.com/dns/dns.htm, is de conclusie erg verontrustend voor de beveiliging van de KPN nameservers (p01-4.kpn.net) .
Klopt deze conclusie wel gelet op de als vrij goed bekend staande beveiliging van KPN 😕 ?

Daarnaast de overige test op deze site zijn ook erg interessant om te doen.

Mvg
Mi
icon

Beste antwoord door RobinFlikkema 31 augustus 2018, 15:42

Mja, ik snap het probleem tot op zekere hoogte. Simpelgezegd, hackers zouden theoretisch kunnen gokken 1 op 60.000 en daarmee hebben ze kans om een kwaadwillig antwoord mee te sturen waarmij jij bijvoorbeeld naar een nep-google of nep-kpnforum zou kunnen worden geleid.

Nu is 1 op 60.000 (of 65535), een kleine kans, maar theoretisch zeker te doen.
Daarnaast zal dit, als ik het goed begrijp, al niet werken voor een groot deel van het internet aangezien vele sites nu HTTPS gebruiken, en een hacker dus ook nog de privatekey van de website moet bemachtigen. (zelfde geld voor bijvoorbeeld IMAPS POPS, SMTPS)

Maar, uiteindelijk is het KPN die dit kan "oplossen", nouja, alleen de kans nog kleiner maken. Tenzij we het dele DNS protocol de deur uit doen.
Maar als je ziet dat er bijvoorbeeld ook nog geen DNSSEC ondersteuning is heb ik mijn twijfels over de termijn waarop dit kan gebeuren.
Daarnaast is er wel risico, en nu wil ik het risico niet te niet doen, maar het is niet super groot. Als je ziet wat de gemiddelde consument allemaal accepteert en mee akkoord gaat zijn er veel grotere risico's waar ik mij eerst zorgen om zou maken

Desalniettemin, het zou zeker een idee zijn voor KPN om hier even naar te kijken. En dan kunnen ze zelf een afweging maken.

Robin
Bekijk origineel

8 reacties

Reputatie 7
Badge +19
Hi molivraagt1. De link die je stuurt werkt niet, jij krijgt waarschijnlijk iets anders te zien dan wij hier. Zou je hier eventueel een print screen willen plaatsen van wat je ziet?
Reputatie 7
Badge +30
De link werkt, bij mij, wel. Maar je moet de test nog even doorlopen, en die duurt wel eventjes.

Maar, persoonlijk betwijfel ik een beetje hoe zo'n groot probleem dit is. Ik zou eerder beginnen met DNSSEC 😃
Reputatie 7
Badge +19
Moli, ik heb helaas geen reactie meer van je gehad. Laat me gerust weten als ik nog iets voor je kan betekenen.
Ik ben niet iedere dag online, vandaar nu mijn reactie.
Bijgevoegd een print van het startscherm achter de link https://www.grc.com/dns/dns.htm (knop initieren van test staat onderaan)

en een van het testresultaat

met voor mij vrij onbegrijpelijk uitleg.
Reputatie 7
Badge +19
met voor mij vrij onbegrijpelijk uitleg.

Ik moet eerlijk zeggen dat het voor mij ook niet al te begrijpelijk is. Ik kijk @RobinFlikkema even lief aan of hij hier iets over kan zeggen. 🤔
Reputatie 7
Badge +30
Mja, ik snap het probleem tot op zekere hoogte. Simpelgezegd, hackers zouden theoretisch kunnen gokken 1 op 60.000 en daarmee hebben ze kans om een kwaadwillig antwoord mee te sturen waarmij jij bijvoorbeeld naar een nep-google of nep-kpnforum zou kunnen worden geleid.

Nu is 1 op 60.000 (of 65535), een kleine kans, maar theoretisch zeker te doen.
Daarnaast zal dit, als ik het goed begrijp, al niet werken voor een groot deel van het internet aangezien vele sites nu HTTPS gebruiken, en een hacker dus ook nog de privatekey van de website moet bemachtigen. (zelfde geld voor bijvoorbeeld IMAPS POPS, SMTPS)

Maar, uiteindelijk is het KPN die dit kan "oplossen", nouja, alleen de kans nog kleiner maken. Tenzij we het dele DNS protocol de deur uit doen.
Maar als je ziet dat er bijvoorbeeld ook nog geen DNSSEC ondersteuning is heb ik mijn twijfels over de termijn waarop dit kan gebeuren.
Daarnaast is er wel risico, en nu wil ik het risico niet te niet doen, maar het is niet super groot. Als je ziet wat de gemiddelde consument allemaal accepteert en mee akkoord gaat zijn er veel grotere risico's waar ik mij eerst zorgen om zou maken

Desalniettemin, het zou zeker een idee zijn voor KPN om hier even naar te kijken. En dan kunnen ze zelf een afweging maken.

Robin
Reputatie 7
Badge +19
Mja, ik snap het probleem tot op zekere hoogte. Simpelgezegd, hackers zouden theoretisch kunnen gokken 1 op 60.000 en daarmee hebben ze kans om een kwaadwillig antwoord mee te sturen waarmij jij bijvoorbeeld naar een nep-google of nep-kpnforum zou kunnen worden geleid.

Desalniettemin, het zou zeker een idee zijn voor KPN om hier even naar te kijken. En dan kunnen ze zelf een afweging maken.

Robin


Ik heb er alle vertrouwen in dat Jaya ons gaat beschermen. 😉
Dank voor jullie antwoorden.
Statistieken zijn altijd een gok "1 op 60.000 (of 65535)".
KPN heeft beslist veel meer dan 65.535 klanten, dus lijkt er een reëel risiko voor een paar klanten te bestaan. Hopelijk wordt dit probleem bij de getroffen (1e) slachtoffers tijdig (h)erkend en zal KPN het nu en straks allemaal netjes oplossen.
🔚

Reageer