11 juli 2017 13:00

Onderzoeker neemt alle .io-websites over

Een beveiligingsonderzoeker ging voor meer dan een etmaal aan de haal met alle .io-domeinen, dankzij een grove fout in de bescherming van de achterliggende infrastructuur.

Meer dan 270.000 .io-domeinen vielen eind vorige week in handen van een beveiligingsonderzoeker. De man had indien hij wilde alle trafiek naar de domeinen kunnen blokkeren, of zelfs kunnen omleiden naar eigen phishing- of malwarewebsites. Dat meldt The Register.

Websitedomeinen eindigend op .io zijn erg populair bij start-ups en moderne internetbedrijfjes. .io is een zogenaamd top level domain, net als .com, .be of .org. Bij ieder top leven domain hoort een soort digitaal telefoonboek: een domain name server (DNS). In dat telefoonboek staat waar specifieke websites te vinden zijn. Typ je smartbiz.com in, dan vraagt je browser aan een .com name server waar smartbiz ergens te vinden is. Vervolgens komt de verbinding met de website in kwestie tot stand.

Onderzoeker Matthew Bryant slaagde er in de .io name servers als gewone websites te registreren onder eigen naam. Hij kreeg met andere woorden ongecontroleerde toegang tot de telefoonboeken waarin de adressen van .io-websites worden bijgehouden. De bug kwam aan het licht toen Bryant een stukje testcode draaide die een onverwachte respons opleverde.

Vals telefoonboek

Concreet passeerde de trafiek van mensen die naar een .io-website surfte, via de door Bryant overgenomen DNS. Dat stelde hem in de mogelijkheid om al het verkeer te sturen naar door hem gekozen adressen. Een concrete toepassing hiervan is phishing: als jij naar www.betrouwbarewebsite.io surft, maar je wordt op de achtergrond naar een andere site gestuurd, is de kans heel groot dat je niets zal beseffen. Zelf handelde je immers veilig.

Bryant nam in totaal vier .io name servers over, gewoon door ze te registreren als een normale website. Normaliter is de domeinnaam van een name server uiteraard niet zelf te koop als geldige websitenaam. Gelukkig was Bryant ter goeder trouw, en gebruikte hij zijn toegang niet voor malafide praktijken.

Bryant contacteerde de beheerders van het .io-register per mail maar het opgegeven adres bleek ongeldig. Vervolgens contacteerde hij hen per telefoon, waar hij verzocht wordt een mailtje te sturen naar aan ander adres. Hoewel hij dat onmiddellijk deed, duurde het nog 24 uur alvorens hij de controle over de ns‑a1.io, ns‑a2.io, ns‑a3.io en ns‑a4.io -servers verloor. Op het moment van dit schrijven heeft de organisatie achter .io volgens The Register nog geen contact opgenomen met Bryant. Het is bovendien niet duidelijk of het probleem snel aan het licht zou zijn gekomen zonder tussenkomst van de onderzoeker.

De onderzoeker bezat slechts vier van de zeven servers, en dat voor ongeveer een etmaal. Moest een hacker hetzelfde uitspoken, dan had de schade best meegevallen. In de praktijk verlopen DNS-lookups via gecachete A-records, wat wil zeggen dat het even zou duren alvorens een omleiding via een overgenomen DNS-server een groot effect zou hebben. Bovendien draait er een extra beveiligingssuite (DNSSEC) bovenop het .io-domein die in theorie het ergste misbruik had gestopt.

Overdrachtfoutje

De oorzaak van het lek is te zoeken bij de overdracht van het beheer van het .io domein van de originele beheerder, het Britse Internet Computer Bureau via NIC.io, naar een derde partij: Afilias. Na de overdracht blokkeerde Afilias slechts drie van de zeven domain name servers, waardoor de andere vier als gewone domeinen te koop waren via een registrar.