Artikel top billede

Omdirigering ved DNS-fejl giver sikkerhedshuller

Der er et kolossalt marked for omdirigering ved fejlindtastninger af domænenavne, men denne praksis, der er ved at få fodfæste, skaber store sikkerhedsproblemer.

Computerworld News Service: Overvågningen af internettrafik for at opsnappe telefonsamtaler eller tracke internetbrugeres adfærd er et varmt emne – men det, der virkelig holder medlemmer af ICANN's Security and Stability Advisory Committee (SSAC) vågne om natten, er overvågning af trafik til og fra websites, der slet ikke eksisterer. ICANN's rådgivende komité for sikkerhed og stabilitet forklarede hvorfor til et offentligt møde i Paris i mandags.

Der er stadig et par mulige domænenavne derude, der endnu ikke er registrerede, og hvis man tilfældigvis taster et af dem ind i sin browsers adressefelt, skulle man meget gerne få en fejlmeddelelse fra domain name-systemet (DNS), der fortæller, at domænet ikke eksisterer.

Hvad, der sker med de fejlmeddelelser, bekymrer SSAC's medlemmer, som rådgiver om sikkerheden og integriteten af domain name-systemerne, som Internet Corporation for Assigned Names and Numbers (ICANN) koordinerer.

Nogle internetudbydere og domænenavnsregistre ser på disse fejlmeddelelser som en mulighed for "hjælpe" deres kunder med at finde det site, de leder efter – og for samtidig at tjene lidt penge. Det gør de ved at opsnappe fejlmeddelelserne og modificere dem til at omdirigere brugeren til et website, som de kontrollerer, typisk med reklameannoncer med relation til det indtastede domænenavn.

Sikkerhedshuller

"Der er et anslået marked på en milliard dollars inden for løsning af domænefejl (domain name resolution, red.)," udtaler Dave Piscitello, ICANN's ledende sikkerhedsteknolog.

Piscitello sidder på en lang liste over, hvorfor udbydere og domænenavnsregistre ikke burde have lov til at tjene på folks fejlindtastninger på denne facon.

På toppen af listen er, at det kan åbne sikkerhedshuller i brugeres computere: Sikkerhedsekspert Dan Kaminsky demonstrerede i april, hvordan man kan udnytte det omdirigeringssystem, der bruges af den amerikanske internetudbyder Earthlink ved DNS-fejlmeddelelser, til at afvikle sin egen JavaScript på en brugers computer. Kaminsky løftede sløret for sine resultater, da domænenavnsregistret Network Solutions begyndte med en lignende omdirigeringspraksis.

Sådanne sikkerhedshuller ville være slemme nok, hvis en bruger indtastede for eksempel "idnbank.dk" i stedet for "dinbank.dk". Men hvis en bruger indtastede adressen til en ikke-eksisterende server såsom "ww.dinbank.dk" i stedet for www.dinbank.dk, så kan en angriber afvikle ondsindet JavaScript på den omdirigerende side, som om koden kom fra banken selv, og derved muligvis stjæle bankens identitet.

"Hvis jeg var en bank, ville jeg bestemt ikke ønske, at dette skete for mig," udtaler Piscitello.

Nogle domænenavnsregistre forbeholder sig retten til at placere reklameannoncer på fejlmeddelende sider, og det eneste, som domænenavnsejere kan gøre for at undgå det, er, at vælge et domænenavnsregister, der ikke forbeholder sig denne ret.

"Grunden, til at dette er så skadeligt, er, at langt størstedelen af folk, der registrerer et billigt domæne, kunne ikke være mere ligeglade," udtaler han.

Der bliver kamp

I forhold til internetudbydere kan brugere skifte til en udbyder, der ikke omdirigerer – eller håbe på at et sikkerhedshul bliver afsløret, og at dette får udbyderen til at deaktivere omdirigeringen i stedet for blot at lappe hullet, som Earthlink gjorde efter Kaminskys afsløring.

Selv om omdirigeringen fra fejlmeddelelser til reklameannoncer i dag kun omfatter websites, er Piscitello bekymret for, at fænomenet vil sprede sig til anden brug af nettet.

"Hvad med modificering af e-mail-optegnelser eller IP-telefoni-optegnelser?" spørger han. Hvis en VoIP-operatør prøver at route et opkald til en anden operatør og finder ud af, at der ikke er relateret nogen bruger til den pågældende IP-adresse, "hvad skulle så stoppe operatøren fra at omdirigere opkaldet til en reklamemeddelelse, der for eksempel fortalte, at 'dette ville ikke ske, hvis du brugte vores tjeneste'?"

"Det kommer til at blive en kamp, for der er mange penge på spil," konkluderer Piscitello.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere