I starten af juli gik Microsoft, Cisco og andre store it-leverandører sammen om at udsende patches til en alvorlig sikkerhedsbrist i nettets adressesystem, Domain Name System (DNS). Hullet blev opdaget allerede i starten af året, men først i sidste uge fremlagde sikkerhedsekspert sikkerhedsekspert Dan Kaminsky en detaljeret teknisk redegørelse for sårbarheden. Men selvom virksomhederne efterhånden har haft en måned til at installere opdateringerne, er der fortsat mange sårbare DNS-servere.
En russisk forsker, Evgeniy Polyakov, har netop demonstreret at selv en opdateret DNS-server kan knækkes. Nu tager det blot timer frem for minutter. Ved at sende omkring 130.000 forespørgsler mod domain-serveren, kunne han opsnappe den benyttede port og det benyttede ID. Med den information kunne han indsætte et »forgiftet« domænenavn. Det betyder, at internet-brugere som indtaster f.eks. bank.dk kan videreledes til en falsk side.
IANA har udviklet et online-værktøj, der kan scanne og finde sårbare servere. Det giver virksomhederne muligheden for at tjekke deres ellers opdaterede servere for sårbarheder. Den gratis scanner tester blandt andet serverens mulighed for rekursive opslag - samt hvorvidt den udvidede tilfældig-port-funktion er aktiveret. Begge disse muligheder er hjørnestene i afværgelsen af et potentielt »poison« angreb.
»Trods sin brugbarhed, så er IANA-servicen et tveægget sværd. Det giver nemlig alle muligheden for at teste andre domæners DNS-servere. Det har resulteret i nogle spændende informationer, når eksempelvis offentlige domæner undersøges,« fortæller Tonny Bjørn fra it-sikkerhedsfirmaet Comendo.
Kigger man eksempelvis på Skat.dk, et af de mest centrale websites i Danmark, så returnerer IANA-servicen følgende resultat:
»Highly vulnerable. The servers tested for SKAT.DK appear highly vulnerable to cache poisoning. Immediate action should be taken to rectify the problem.«
Alene i år har 850.000 borgere havde afgivet deres oplysninger via TastSelv på skat.dk. Så potentialet for misbrug er stort.
Jobnet.dk er også med i listen over domæner der er placeret på sårbare servere. Her skal flere tusinde jobsøgende ugentligt logge ind. Jobnet.dk er placeret på en DNS-server i Sverige, hvor den meget omtalte FRA-lov (den såkaldte Big-Brother lov) træder i kraft den 1. januar 2009.
»At en aktuel sårbarhed kan tage dage eller sågar uger at få rettet, er i sig selv kritisk. Men efter en opdatering efterfølgende er udnyttet - så bør få den ansvarlige for en given service sidde ude på kanten af stolen. Givet, med de frigivne opdateringer på plads, og med deaktivering af rekursive opslag samt muligheden for tilfældige porte aktiveret, så vil det give muligheden for at spotte et igangværende angreb. Mængden af DNS forespørgsler er ikke til at tage fejl af. Men det vil kun blive opdaget, hvis der er fokus på problemet,« siger Tonny Bjørn.
På denne side findes en udførlig teknisk guide om DNS-sikkerhedsproblemet.
