Ny trend: Navneservere forgiftes af svindlere

Internetsvindlere har fået øje på en ny måde at lokke følsomme oplysninger ud af intetanende internetbrugere.

Ved at hacke sig ind i internettets navneservere kan svindlerne omdirigere brugerne til falske websteder, uden brugerne har nogen chance for at forsvare sig.

Metoden kaldes "DNS-forgiftning" og siden midten af februar er flere forsøg på denne type angreb blevet opdaget.

Det svarer populært sagt til at taste 80 80 80 80 på telefonen for at ringe til TDC's kundeservice, men nogen har rodet med din lokale telefoncentral, så du i stedet bliver stillet om til et nummer i Tobago.

Penge i netsvindel

Teknikken har været kendt i mange år, men har nu fået en renæssance, fordi der i dag er penge i svindel på internettet.

- Det går hånd i hånd med phishing-angreb, siger sikkerhedskonsulent Olivier Gerey fra Symantec i Danmark.

Tidligere eksempler på angreb ved hjælp af DNS-forgiftning har været rettet mod de store navneservere, men nu søger hackere efter sårbare systemer længere nede i hierarkiet.

Hvad er DNS? DNS (Domain Name System) er den måde, som bruges til at oversætte det "menneskelige" navn som eksempelvis www.computerworld.dk til en IP-adresse. En IP-adresse angiver entydigt en computers placering på internettet. Hvad er DNS-forgiftning? DNS-forgiftning eller "DNS poisoning" er basalt set en metode, der gør det muligt at ændre den adresse, som et værtsnavn oversættes til. For eksempel oversættes værtsnavnet www.computerworld.dk til 62.199.137.133. Ved hjælp af DNS-forgiftning kan en ondsindet person på navneserveren ændre den tilknyttede IP-adresse for domænet, så navneserveren peger på en anden IP-adresse og dermed en anden server. Kilde: SANS Internet Storm Center

Eksempelvis er der kendte sikkerhedshuller i Microsoft Windows 2000 og Symantecs gateway-software. I begge tilfælde findes der løsninger fra producenterne, som lukker hullerne. Blandt andet vil Service Pack 3 til Windows 2000 Server lukke for de kendte angreb med DNS-forgiftning.

- Systemadministratorer skal være opmærksomme på, at der er en opgave på navneserversiden med at sikkerhedsopdatere og konfigurere, siger direktør Lars Neupart fra sikkerhedsfirmaet Neupart.

Virksomheder skal være opmærksomme

For den almindelige danske ADSL-kunde er DNS-forgiftning ikke et problem, der bør give søvnløse nætter. Der er nemlig meget lidt almindelige brugere kan gøre for at gardere sig mod denne type angreb.

- Det vil være rigtig kedeligt med kombination af DNS-forgiftning og phishing. Lige meget hvor bevidst brugeren er, så vil det være svært at opdage, siger Lars Neupart.

Virksomheder med egen DNS-server bør til gengæld være opmærksomme på truslen.

De store rod-navneservere, som har den højeste autoritet, er i dag godt beskyttet mod angreb. Derfor er den type angreb, der finder sted, i stedet såkaldte DNS cache-forgiftninger.

Det handler altså om at angribe de kopier af navneregistrene, som ligger på lokale navneservere. Det kan være hos internetudbydere, virksomheder eller boligforeninger.

Fordi brugerne ikke selv kan gøre noget for at opdage et angreb, er det derfor op til de netværksansvarlige at forhindre, at navneserverne kan angribes.

Relevante link

SANS om de aktuelle angreb

Security Focus om DNS-forgiftning