Allerede i starten af året opdagede sikkerhedsekspert Dan Kaminsky en meget alvorlig sikkerhedsbrist i nettets adressesystem, Domain Name System (DNS), men han gav sig selv mundkurv på, så de store it-leverandører kunne få lukket hullet inden det blev misbrugt.
I starten af juli udsendte Microsoft, Cisco, Sun og andre leverandører i en stor koordineret aktion en samling at patches for at lukke hullet. Men Dan Kaminsky ville stadig ikke røbe de tekniske detaljer.
Først nu, en måned senere, har Dan Kaminsky leveret en uddybende præsentation af sårbarheden på Black Hat konferencen i Las Vegas. I mellemtiden har andre sikkerhedseksperter dog gættet de fleste af detaljerne - og offentliggjort dem på nettet.
DNS konverterer adresser som bank.dk til numeriske ip-adresser, som computeren bruger til at kontakte serveren, og fejlen ligger i selve den metode, der bruges til at konvertere mellem ord og tal.
En forespørgsel til en DNS-server indeholder et tilfældigt transaktionsnummer, der skal forhindre at en tredjepart sender en falsk IP-adresse tilbage. Svaret er kun gyldigt, hvis det indeholder samme transaktionsid som forespørgslen.
Men der er kun 65.536 forskellige transaktionsnumre, og Kaminsky har opdaget at en angriber kan oversvømme en DNS-server med forespørgsler med små variationer - f.eks. 1.google.com, 2.google.com, 3.google.com - og dermed forbedre sine chancer for at gætte det korrekte transaktionsnummer.
Fejlen betyder at it-kriminelle kan viderelede brugerne til falske phishing-sites selv hvis man har tastet den korrekte adresse i browseren - adressen bank.dk kunne altså eksempelvis sættes til at pege på svindeloghumbug.dk, og brugeren vil aldrig ane uråd.
Men det er også muligt at opfange alle mails til en virksomhed og udspionere den elektroniske kommunikation på andre måder.
Selvom der er gået en måned, er der stadig mange virksomheder som mangler at patche. Selv blandt Fortune 500 - de største virksomheder i USA - mangler 15 pct. stadig at patche, og hos yderligere 15 pct. virker patchen ikke.
Læs mere på Dan Kaminskys egen blog.
