"Der er ikke nogen fornuftig workaround. Og vi er ramt af det."
Sådan konkluderede TDC's ip-systemgruppe i sidste uge, da USA's Homeland Security sammen med en lang række producenter efter et halvt års streng hemmeligholdelse, med en koordineret aktion advarede alverdens internetleverandører mod en hidtil ukendt fejl i dns-systemet, der er hovedhjørnesten i internettet.
Det fortæller Jan Chrillesen, der er netværksadministrator hos TDC.
Fejlen betød, at det var muligt for hackere eller andre fingernemme folk at lægge falske oplysninger ind på de såkaldte regressive servere.
Og dermed er det kun fantasien der sætter grænserne for muligheden for phishing, identitetstyveri og andre it-forbrydelser.
Det var rent held
Derfor var det et rent held, at det for et halvt år siden ikke var en hacker, men den amerikanske sikkerhedskonsulent Dan Kaminsky, der ved et tilfælde opdagede det massive sikkerhedsbrist i dns- systemet.
Dermed blev det muligt for producenter og udbydere som eksempelvis TDC at forberede en koordineret sikkerhedsopdatering af dns-systemet.
Koordineret indsats
"Inden for en time dumpede der sikkerhedsadvisories ind fra blandt andet Cisco og ISC," siger Jan Chrillesen.
ISC er firmaet bag det mest udbredte softwaresystem til drift af dns-servere, Bind (Berkeley Internet Name Domain).
Det open-source baserede system bruges af TDC og omkring 80 procent af resten af verdens internetudbydere.
Derfor var ISC (Internet Systems Consotium) sammen med blandt andet Microsoft og hardwareproducenten Cisco med i den omfattede opdatering af internettet i sidste uge.
TDC er Danmarks største internetudbyder og håndterer flere tusinde dns-requests i sekundet på omkring 15 rekursive dns-servere, som altså viste sig at være ramt af det verdensomspændende sikkerhedsproblem.
Truede internettets telefonbog
Dns-systemet virker som en form for telefonbog over internettets servere, og sørger for at brugeren når frem til den rigtige hjemmeside, når han eksempelvis ønsker at finde Computerwolrd på nettet.
Systemet er bygget op af en lang række autoritative servere, som indeholder en koordineret liste over internettet, som det så ud ved sidste opdatering.
Men desuden har de fleste internetudbydere en række rekursive dns-servere, som fungerer som en form for proxyservere, der er lokale kopier af de autoritative dns-servere.
"Dermed sparer man en masse trafik, og kunderne får hurtigere svar på deres dns-forespørgsler," siger Jan Chrillesen.
TDC har ifølge netværksadministratoren omkring 15 servere, som kører rekursiv dns. De skulle alle opdateres til en version som ikke har sikkerhedshullet.
"Det er så vigtig en service, at hvis rekursiv dns ikke virker, så er der ingenting der virker," siger Jan Chrillesen.
[bFreeBSD- og Solaris-compilede opdateringer[/b]
Selve opdateringen af firmaets rekursive dns-servere foregik ved at hente opdateringer hos leverandørerne. Ifølge Jan Chrillesen var der primært tale om opdatering af Bind.
Serverene kører på henholdsvis på platformene Solaris og FreeBSD. Og den sidste platform er ifølge netværkskonsulenten typisk den nemmeste at opdatere.
I praksis foregår det ved at medarbejderne på nogle udviklings- og testmaskiner oversætter kildeteksten til det binære format som kører på serverne. Der er tale om en opgave som uden problemer kan klares på en enkelt arbejdsdag, forklarer Jan Chrillesen.
"Vi laver en lille pakke som kan flyttes ud på servere," siger netværksadministratoren.
Fejlen blev fundet af en sikkerhedskonsulent og ikke en hacker. Derfor foregik den globale opdatering af dns-sikkerhedshullet mageligt og uden opkald hjem til konen om natarbejde, sådan som det ifølge Jan Crillesen også kan være tilfældet.
Og selv om hullet nu er offentligt kendt, hemmeligholdes detaljerne til den 6. august. Derfor er der masser af tid for alle til at få lukket hullet, forklarer Jan Chrillesen.
"En opdatering vil altid forløbe lidt mere fornuftigt hvis man lige har haft tid til at tænke over det," siger Jan Chrillesen.
