Ekspert afslører DNS-sikkerhedshul

Sikkerhedsekspert Dan Kaminsky har langt om længe afsløret de tekniske detaljer i forbindelse med det meget omtalte sikkerhedshul i nettets navnesystem.

Allerede i starten af året opdagede sikkerhedsekspert Dan Kaminsky en meget alvorlig sikkerhedsbrist i nettets adressesystem, Domain Name System (DNS), men han gav sig selv mundkurv på, så de store it-leverandører kunne få lukket hullet inden det blev misbrugt.

I starten af juli udsendte Microsoft, Cisco, Sun og andre leverandører i en stor koordineret aktion en samling at patches for at lukke hullet. Men Dan Kaminsky ville stadig ikke røbe de tekniske detaljer.

Først nu, en måned senere, har Dan Kaminsky leveret en uddybende præsentation af sårbarheden på Black Hat konferencen i Las Vegas. I mellemtiden har andre sikkerhedseksperter dog gættet de fleste af detaljerne - og offentliggjort dem på nettet.

DNS konverterer adresser som bank.dk til numeriske ip-adresser, som computeren bruger til at kontakte serveren, og fejlen ligger i selve den metode, der bruges til at konvertere mellem ord og tal.

En forespørgsel til en DNS-server indeholder et tilfældigt transaktionsnummer, der skal forhindre at en tredjepart sender en falsk IP-adresse tilbage. Svaret er kun gyldigt, hvis det indeholder samme transaktionsid som forespørgslen.

Men der er kun 65.536 forskellige transaktionsnumre, og Kaminsky har opdaget at en angriber kan oversvømme en DNS-server med forespørgsler med små variationer - f.eks. 1.google.com, 2.google.com, 3.google.com - og dermed forbedre sine chancer for at gætte det korrekte transaktionsnummer.

Fejlen betyder at it-kriminelle kan viderelede brugerne til falske phishing-sites selv hvis man har tastet den korrekte adresse i browseren - adressen bank.dk kunne altså eksempelvis sættes til at pege på svindeloghumbug.dk, og brugeren vil aldrig ane uråd.

Men det er også muligt at opfange alle mails til en virksomhed og udspionere den elektroniske kommunikation på andre måder.

Selvom der er gået en måned, er der stadig mange virksomheder som mangler at patche. Selv blandt Fortune 500 - de største virksomheder i USA - mangler 15 pct. stadig at patche, og hos yderligere 15 pct. virker patchen ikke.

Læs mere på Dan Kaminskys egen blog.

Annonceindlæg fra Immeo

Legacy-modernisering fejler, når man ikke ved, hvad man erstatter

Mange offentlige legacy-systemer rummer kritisk forretningslogik, som ikke findes i dokumentationen, men kun i koden.

Navnenyt fra it-Danmark

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

Nihad Hodzic

Trafikstyrelsen

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S