Sikkerhedseksperten Dan Kaminsky opdagede allerede i starten af året en sikkerhedsbrist i nettets adressesystem, Domain Name System (DNS). Fejlen betyder at netbrugere kan videreledes til falske websteder ved at manipulere med adressesystemet. De tekniske detaljer er holdt hemmelige indtil nu for at forhindre misbrug - men mandag gik det galt.
En anden sikkerhedsekspert, Halvar Flake, sendte mandag et indlæg til en mailingliste, hvor han beskriver sin egen teori over, hvad fejlen er. Det er i sig selv slemt nok, men endnu værre er, at Matasano Security kort tid efter svarede på hans teori med et langt og detaljeret indlæg som beskriver det faktiske DNS-sikkerhedshul.
Dermed er katten ude af sækken - og selvom Matasano i mellemtiden har fjernet indlægget og undskyldt, så er skaden sket. Det er formentlig kun et spørgsmål om tid, før hackere har konstrueret de første programmer, der udnytter sårbarheden i DNS-systemet.
Allerede i starten af måneden gik de største leverandører af DNS-software sammen om at udsende fælles opdateringer til deres systemer for at få lukket hullet. Det gælder blandt andet Microsoft og Cisco. Men erfaringen viser, at der kan gå lang tid før alle har installeret opdateringen.
Dan Kaminsky mener at der skal gå 30 dage inden de tekniske detaljer skal offentliggøres - og han har planlagt at fortælle om sikkerhedshullet i et foredrag på Black Hat konferencen i Las Vegas den 6. august. Men nu ser det altså ud til, at andre er kommet ham i forkøbet.
Det usædvanlige ved dette sikkerhedshul er, at fejlen ikke kun findes i et enkelt program. DNS konverterer adresser som bank.dk til numeriske ip-adresser, som computeren bruger til at kontakte serveren, og fejlen ligger i selve den metode, der bruges til at konvertere mellem ord og tal.
Der er tale om det såkaldte DNS-cache-poisoning, hvor angriberen kan smugle falske oplysninger ind i DNS-serverens cache. Fejlen betyder at it-kriminelle kan viderelede brugerne til falske phishing-sites selv hvis man har tastet den korrekte adresse i browseren - adressen bank.dk kunne altså eksempelvis sættes til at pege på svindeloghumbug.dk, og brugeren vil aldrig ane uråd.
Dan Kaminsky har allerede reageret på lækagen ved at opfordre alle til at installere opdateringen hurtigst muligt.
