Artikel top billede

TDC-specialister med til global DNS-opdatering

En lille gruppe netværksadministratorer hos TDC var i sidste uge med i den globale, hemmligholdte opdatering af DNS-systemet. 15 servere var ramt af sikkerhedshullet.

"Der er ikke nogen fornuftig workaround. Og vi er ramt af det."

Sådan konkluderede TDC's ip-systemgruppe i sidste uge, da USA's Homeland Security sammen med en lang række producenter efter et halvt års streng hemmeligholdelse, med en koordineret aktion advarede alverdens internetleverandører mod en hidtil ukendt fejl i dns-systemet, der er hovedhjørnesten i internettet.

Det fortæller Jan Chrillesen, der er netværksadministrator hos TDC.

Fejlen betød, at det var muligt for hackere eller andre fingernemme folk at lægge falske oplysninger ind på de såkaldte regressive servere.

Og dermed er det kun fantasien der sætter grænserne for muligheden for phishing, identitetstyveri og andre it-forbrydelser.

Det var rent held

Derfor var det et rent held, at det for et halvt år siden ikke var en hacker, men den amerikanske sikkerhedskonsulent Dan Kaminsky, der ved et tilfælde opdagede det massive sikkerhedsbrist i dns- systemet.

Dermed blev det muligt for producenter og udbydere som eksempelvis TDC at forberede en koordineret sikkerhedsopdatering af dns-systemet.

Koordineret indsats

"Inden for en time dumpede der sikkerhedsadvisories ind fra blandt andet Cisco og ISC," siger Jan Chrillesen.

ISC er firmaet bag det mest udbredte softwaresystem til drift af dns-servere, Bind (Berkeley Internet Name Domain).

Det open-source baserede system bruges af TDC og omkring 80 procent af resten af verdens internetudbydere.

Derfor var ISC (Internet Systems Consotium) sammen med blandt andet Microsoft og hardwareproducenten Cisco med i den omfattede opdatering af internettet i sidste uge.

TDC er Danmarks største internetudbyder og håndterer flere tusinde dns-requests i sekundet på omkring 15 rekursive dns-servere, som altså viste sig at være ramt af det verdensomspændende sikkerhedsproblem.

Truede internettets telefonbog

Dns-systemet virker som en form for telefonbog over internettets servere, og sørger for at brugeren når frem til den rigtige hjemmeside, når han eksempelvis ønsker at finde Computerwolrd på nettet.

Systemet er bygget op af en lang række autoritative servere, som indeholder en koordineret liste over internettet, som det så ud ved sidste opdatering.

Men desuden har de fleste internetudbydere en række rekursive dns-servere, som fungerer som en form for proxyservere, der er lokale kopier af de autoritative dns-servere.

"Dermed sparer man en masse trafik, og kunderne får hurtigere svar på deres dns-forespørgsler," siger Jan Chrillesen.

TDC har ifølge netværksadministratoren omkring 15 servere, som kører rekursiv dns. De skulle alle opdateres til en version som ikke har sikkerhedshullet.

"Det er så vigtig en service, at hvis rekursiv dns ikke virker, så er der ingenting der virker," siger Jan Chrillesen.

[bFreeBSD- og Solaris-compilede opdateringer[/b]
Selve opdateringen af firmaets rekursive dns-servere foregik ved at hente opdateringer hos leverandørerne. Ifølge Jan Chrillesen var der primært tale om opdatering af Bind.

Serverene kører på henholdsvis på platformene Solaris og FreeBSD. Og den sidste platform er ifølge netværkskonsulenten typisk den nemmeste at opdatere.

I praksis foregår det ved at medarbejderne på nogle udviklings- og testmaskiner oversætter kildeteksten til det binære format som kører på serverne. Der er tale om en opgave som uden problemer kan klares på en enkelt arbejdsdag, forklarer Jan Chrillesen.

"Vi laver en lille pakke som kan flyttes ud på servere," siger netværksadministratoren.

Fejlen blev fundet af en sikkerhedskonsulent og ikke en hacker. Derfor foregik den globale opdatering af dns-sikkerhedshullet mageligt og uden opkald hjem til konen om natarbejde, sådan som det ifølge Jan Crillesen også kan være tilfældet.

Og selv om hullet nu er offentligt kendt, hemmeligholdes detaljerne til den 6. august. Derfor er der masser af tid for alle til at få lukket hullet, forklarer Jan Chrillesen.

"En opdatering vil altid forløbe lidt mere fornuftigt hvis man lige har haft tid til at tænke over det," siger Jan Chrillesen.




IT-JOB

Capgemini Danmark A/S

IGNITE Graduate Program 2025

Cognizant Technology Solutions Denmark ApS

Kinaxis Sr. Solution Consultant

Udviklings- og Forenklingsstyrelsen

Projektkoordinator til Boligprogrammet
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere