Beveiligingsonderzoeker Matthew Bryant was in staat om vier van de zeven nameservers van het io-domein te registreren, waarmee hij dns-verzoeken voor alle domeinnamen op het domein had kunnen omleiden.

Bryant beschrijft zijn bevindingen in een blogpost. Hij stelt dat de gevolgen groot zijn, omdat er een grote kans was dat mensen verbinding zouden maken met zijn gekaapte nameservers. Zo had hij bijvoorbeeld bezoekers van een legitieme io-site kunnen omleiden naar een kwaadaardige site. Hij legt uit dat het io-tld wel gebruikmaakt van dnssec, waardoor het versturen van aangepaste dns-info niet werkt. De ondersteuning voor de techniek onder providers is echter laag, waardoor dit niet veel had uitgemaakt, aldus Bryant.

Hij ontdekte dat hij de vier nameservers in kwestie kon registreren toen hij op een vrijdagavond verschillende tld's in kaart bracht. Via een api van registrar Gandi kreeg hij een notificatie dat een aantal io-nameservers beschikbaar waren voor registratie. Omdat hij dit vaker had meegemaakt en het doorgaans om loos alarm ging, probeerde hij een van de servers te registreren voor 90 dollar. Vervolgens kreeg hij op woensdag een notificatie dat zijn bestelling was goedgekeurd en dat zijn domeinen actief zijn.

Het bleek dat hij inderdaad de nameserver in handen had en dat hij verzoeken kreeg uit de hele wereld. Als eerste maatregel schakelde hij de BIND-server uit, waardoor de verzoeken werden afgehandeld door de andere servers. Zijn eerste poging om de beheerder van de io-domein via de beschikbare contactgegevens te bereiken, liepen nergens op uit. Als aanvullende maatregel besloot Bryant toen ook de overige nameservers te registreren. Na een telefoongesprek kreeg hij vervolgens het juiste adres om contact te leggen en werden zijn bestellingen de volgende dag teruggedraaid.

Bryant stelt dat ook een snelle respons niet alle schade zou kunnen voorkomen, omdat het vaak een tijd duurt voordat de in de cache opgeslagen resultaten uit de verschillende resolvers zouden verdwijnen.

Reacties mogelijk gemaakt door CComment