For DotDK/Afilais, der har 14 dage tilbage til at samle overbevisende støtte til overtagelsen af administrationen af det danske internetdomæne, er afsløringen af et sikkerhedshul i DNS-systemet kommet på et heldigt tidpunkt. Så heldigt, at det ligende et mediestunt, da de i går kunne fremlægge planerne for en sikring af .dk domænet. Det skete på en pressekonference, som skulle handle om det det såkaldte Kaminsky-hul, der har skabt avisoverskrifter de seneste dage.
Kaminsky-hullet, der betegner en sårbarhed i internettets DNS-system, har som konsekvens, at ikke-patchede servere vil kunne få deres adresse-system "forgiftet" med kode, der tillader hackere i al hemmelighed at gøre sig mellemmænd mellem brugeren og den web-side, vedkommende er inde på.
Hullet blev opdaget af sikkerhedsforsker Dan Kaminsky, der afslørede dele af problemet så sent som i sidste måned, mens den detaljeret beskrivelse først blev offentliggjort ved Black Hat sikkerhedskonferencen i sidste uge.
"Kaminsky-hullet er den største enkeltstående trussel mod internettet i dag. Store summer venter kun på at blive stjålet når e-handelssider og banker bliver kompromitteret," sagde Ram Mohan, Chief Technology Officer i irske Afilais, til danske journalister på pressemødet.
Hullet er samtidig en PR-mæssig guldgrube for Afilias, som har slået på sin tekniske løsninger som overlegne og sikerhedsmssigt bedre end hvad der bydes på hos modparten.
På mødet kom det således hurtigt frem, at DotDK /Afilias allerede i foråret foreslog tiltag, der skulle skabe større sikkerhed for det danske domæne. Specifikt angav man nemlig, at det danske domæne skal køres med den avancerede sikkerhedsstandard DNSSEC, da DotDK Afilias i foråret lagde billet ind i Telestyrelsens udbudsrunde om hvem der skal styre det danske domæne.
Hvis DotDK/Afilias godkendes (Afilias bruger konsekevent ordet "når" i stedte for "hvis") til at overtage den danske internetadministration, vil parterne skrue sikkerheden yderligere i vejret. Det betyder blandt andet, at der skal indføres public key kryptering i den danske domænestruktur, samt at man vil fjerne muligheden for rekursive opslag (altså hvor DNS-serveren populært sagt foretager opslag af DNS-adresser i sin egen cache)
"Kaminsky-hullet betyder, at vi må ændre gennemgribende på måden, internettet styres på. Det betyder enden på caching som vi kender det i dag," forkynder Ram Mohan.
De foresåede tiltag bliver ikke gratis og både ydelsesmæssigt og investeringsmæssigt skal der betales en pris. Krypteringen vil betyde, at opslag på internettet bliver målbart langsommere, mens DNSSEC vil kræve nyinvesteringer i hardware og software for mange led i domænehåndteringen.
Adspurgt hvor store nyinvesteringer, der vil blive tale om, svarer Ram Mohan med et modspørgsmål: "
"Hvad er prisen, hvis hackere kan overtage en banks webadresse uden nogen ved det?"
Selvom listen over nye skridt, der ifølge Afilias skal tages på sikkerhedsfronten i forhold til det danske domæne, virker længere og mere gennemført end hvad der har været af udspil fra den eksisterende administrators side, så er sidstnævnte langtfra uden for nummer.
Eksempelvis er DK-Hostmaster ifølge direktør Per Kølle klar med DNSSEC-standarden, og har været det længe:
"Vi har tidligere arbejdet for at få indført DNSSEC, men alle gangene har det blevet tilbagevist på grund af manglende interesse. Nu er den blevet aktuel igen og det ville være oplagt at indføre den," siger han til ComON.
Også hos DK-Hostmaster erkendes det, at DNSSEC-standarden vil medføre meromkostninger for domæneudbyderne. Per Kølle mener dog ikke, at udgifterne vil være uoverstigelige, da meget af den relevante software kan anskaffes billigt eller gratis, og da det langt fra er alle servere, der vil have behov for en opgradering.
Hvor meget eller hvor lidt de to lejres skridt til håndtering af DNS-sikkerhedshullet reelt adskiller sig fra hinanden, vil næppe blive afklaret i alle detaljer. Men hvem af dem, der har været dygtigst til at markedsføre sig, bliver måske afgørående, når den aggressive valgkamp mellem parterne slutter i næste måned.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt