I går kunne ComON fortælle at Skats servere på skat.dk og tastselv.dk er sårbare overfor DNS-misbrug. Det meget omtalte DNS-sikkerhedshul, der første gang blev offentlig kendt i starten af juli, er endnu ikke blevet patchet på Skats servere. Der er tale om et meget alvorligt sikkerhedshul, som gennem det såkaldte »cache poisoning« kan gøre det muligt at plante falske data på DNS-serveren og dermed viderelede brugerne til en forkert side - selvom man har tastet den korrekte webadresse som f.eks. skat.dk.
Skat bekræfter nu overfor ComON, at sikkerheds-opdateringen, der blev frigivet i begyndelsen af sidste måned, endnu ikke er installeret på DNS-serverne. Efter de seneste dages omtale af DNS-sikkerhedshullet har Skat nu besluttet at installere opdateringen hurtigere end oprindeligt planlagt.
»Vi havde planlagt at patche i næste uge. Men i lyset af de seneste oplysninger om trusselsniveauet, der er kommet frem, har vi besluttet at gøre det allerede i morgen,« siger Johni Mandrup Jensen, der er ansvarlig for drift og leverandørkontakt hos Skat.
Det er it-virksomheden CSC, der står for driften af Skats hjemmeside, som er et af de mest besøgte offentlige danske websteder. Alene i år har 850.000 netbrugere indsendt oplysninger til selvangivelsen gennem Tastselv.dk.
»I første omgang vurderede vi ikke trusselsniveauet fra dette sikkerhedshul til at være så højt. Derfor valgte vi at prioritere andre opdateringer i stedet. Det vil altid være en vurdering af, hvor mange ressourcer der skal bruges på et konkret sikkerhedsproblem. Men vi går ikke på kompromis med sikkerheden på noget tidspunkt, og vi har aldrig haft et sikkerhedsbrist på skat.dk,« siger Johni Mandrup Jensen.
Det var den amerikanske sikkerhedsekspert Dan Kaminsky, der opdagede sårbarheden i nettets adressesystem i starten af året. Han valgte at hemmeligholde sikkerhedshullet og tog kontakt til leverandørerne, som gik sammen om at udsende patches til deres software i begyndelsen af juli.
Og selv på dette tidspunkt, hvor offentligheden for første gang fik kendskab til problemet, ville Dan Kaminsky stadig ikke røbe de tekniske detaljer, som kunne misbruges til at angribe sårbare servere. Det skete først under et foredrag på en sikkerhedskonference i Las Vegas i sidste uge. Dan Kaminsky mente, at én måned ville være tilstrækkelig tid til, at virksomheder og myndigheder kunne nå at installere opdateringen.
Men det er stadig langt fra alle, der har installeret DNS-patchen. Foruden Skat.dk gælder det også Jobnet.dk, som alle danske jobsøgende der modtager dagpenge fra en a-kasse skal besøge mindst én gang om ugen.
