Hemmeligt DNS-sikkerhedshul lækket

Nu er informationer om et hidtil hemmeligholdt sikkerhedshul i nettets adressesystem sluppet ud. Dermed er der kun kort tid tilbage til at opdatere DNS-serverne, inden angrebene begynder.

Sikkerhedseksperten Dan Kaminsky opdagede allerede i starten af året en sikkerhedsbrist i nettets adressesystem, Domain Name System (DNS). Fejlen betyder at netbrugere kan videreledes til falske websteder ved at manipulere med adressesystemet. De tekniske detaljer er holdt hemmelige indtil nu for at forhindre misbrug - men mandag gik det galt.

En anden sikkerhedsekspert, Halvar Flake, sendte mandag et indlæg til en mailingliste, hvor han beskriver sin egen teori over, hvad fejlen er. Det er i sig selv slemt nok, men endnu værre er, at Matasano Security kort tid efter svarede på hans teori med et langt og detaljeret indlæg som beskriver det faktiske DNS-sikkerhedshul.

Dermed er katten ude af sækken - og selvom Matasano i mellemtiden har fjernet indlægget og undskyldt, så er skaden sket. Det er formentlig kun et spørgsmål om tid, før hackere har konstrueret de første programmer, der udnytter sårbarheden i DNS-systemet.

Allerede i starten af måneden gik de største leverandører af DNS-software sammen om at udsende fælles opdateringer til deres systemer for at få lukket hullet. Det gælder blandt andet Microsoft og Cisco. Men erfaringen viser, at der kan gå lang tid før alle har installeret opdateringen.

Dan Kaminsky mener at der skal gå 30 dage inden de tekniske detaljer skal offentliggøres - og han har planlagt at fortælle om sikkerhedshullet i et foredrag på Black Hat konferencen i Las Vegas den 6. august. Men nu ser det altså ud til, at andre er kommet ham i forkøbet.

Det usædvanlige ved dette sikkerhedshul er, at fejlen ikke kun findes i et enkelt program. DNS konverterer adresser som bank.dk til numeriske ip-adresser, som computeren bruger til at kontakte serveren, og fejlen ligger i selve den metode, der bruges til at konvertere mellem ord og tal.

Der er tale om det såkaldte DNS-cache-poisoning, hvor angriberen kan smugle falske oplysninger ind i DNS-serverens cache. Fejlen betyder at it-kriminelle kan viderelede brugerne til falske phishing-sites selv hvis man har tastet den korrekte adresse i browseren - adressen bank.dk kunne altså eksempelvis sættes til at pege på svindeloghumbug.dk, og brugeren vil aldrig ane uråd.

Dan Kaminsky har allerede reageret på lækagen ved at opfordre alle til at installere opdateringen hurtigst muligt.

Capgemini Danmark A/S

AI/Data Engineer

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

IT-ansvarlig / System Manager til Applikationsforvaltning i Cyberdivisionen

Københavnsområdet

Jyske Bank

Softwareudvikler - .NET/Cloud

Midtjylland

Annonceindlæg fra Computerworld

Open Source AI er på vej ind i kommunerne

Med OS2ai forsøger Aarhus Kommune og OS2-fællesskabet at give offentlige medarbejdere adgang til generativ AI uden at gøre kommunerne mere afhængige af amerikanske techgiganter.

Navnenyt fra it-Danmark

Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S