Tømmermænd for adressering af web med DNS

Efter at Microsofts web-steder var ude af drift på grund af fejl og hacker-angreb, rejser spørgsmålet sig: Er web-adresser styret af DNS særlig sikre? Svaret er nej. Læs hvorfor her.

DNS er vigtig

Er håndteringen af web-adresser med Domain Name Servere (DNS) særlig sikre og stabile? Nej. Og danske virksomheder burde også tage problemerne mere alvorligt. Men det vender vi tilbage til.

Alle Microsoft-haderne kunne grine skadefro over softwaregigantens problemer med web-stederne i sidste uge. Men andre har mere seriøst spurgt til, hvorvidt problemet er generelt og også rammer andre? Er der svagheder i DNS, som gør det sårbart for fejl og hackerangreb? Og svaret er: JA. Vi forklarer det her.

DNS er adressering af web-sider

DNS er de servere, som forbinder URL-adresser på web-sider formuleret i let læselig tekst til ip-adresser med fire numre. Når du taster www.pcworld.dk i din browser, så er det en DNS-server, som oversætter det til ip-adressen med fire tal.

Web-serverne skal findes via ip-adressen, så DNS oversættelsen fra teksten er helt nødvendig. Da Microsofts DNS i sidste uge var ramt af fejl og hackerangreb, betød det,at web-serverne på www.microsoft.com, www.msn.com og mange andre adresser ikke svarede. Web-serverne fejlede ikke noget, og ip-adresseringen var også fuld funktionsdygtig. Men kundernes forespørgsler nåede aldrig frem til web-serverne.

DNS er ikke en enkel central-server. Tværimod er det blandt Internet-verdenens største distribuerede databaser. Det betyder, at DNS-serverne indgår i et netværk, hvor de udveksler informationer. Når du får oprettet et nyt domænenavn som www.min-side.dk, så registreres det sammen med et ip-nummer i tabellerne over navne. Denne registrering sendes ud i hele verden med angivelse af, hvor Internettets routere skal sende forespørgsler, når kunder fra hele verdenen skriver http://www.min-side.dk. På den måde sikrer DNS, at en net-surfer i Hong Kong kan læse din web-side med denne URL.

Microsofts problem

Microsofts problem

ZDnet og andre nyhedstjenester har rejst spørgsmålet, om ikke problemet for Microsoft er lidt pinligt. Firmaet burde være ekspert i at håndtere og styre DNS, så denne type fejl prellede af som vand på en gås. Hvis Microsoft ikke kan sikre sig, hvem kan så?

ZDnet skriver, at Microsoft ikke har backup på sit system for distributionen af DNS informationerne. Microsofts servere ligger på samme fysiske netværk, hvor de kunne have fordelt dem på flere forskellige net. Branchens andre store web-steder som AOL, Yahoo og Disney har DNS-backupservere på forskellige netværk, så de netop spreder belastning og risiko. ZDnet sætter tal på Microsofts tab, der skulle ligge på to millioner dollar, samt en masse dårlig omtale. Men tilføjer de, DNS-systemet er så centralt, at det kunne have været meget værre.

Huller i BIND

Huller i BIND

BIND betyder Berkeley Internet Name Domain, og det er et af de vigtigste programmer, der driver DNS-systemet. Det er software, der distribueres gratis fra organisationen Internet Software Cornsortium (ISC).

BIND er implementering af DNS protokollerne. BIND DNS servere bliver brugt af det store flertal af navneservice maskiner på det globale Internet. BIND giver en stabil arkitektur og organisation af hele navneservicen. Det giver de programsnitflader, som DNS bruger til at udveksle og opdatere web-adressernes navne og numre med.

Infoworld skriver, at der er sikkerhedshuller i flere versioner af BIND. Specielt er der sikkerhedshuller i flere af versionerne i serierne 4 og 8 af BIND. Det såkaldte TSig (Transaction signatures) sikkerhedshul i version 8.2.x giver hackere mulighed for at kontrollere DNS servere, og derefter omdirigere trafikken eller blokere forespørgsler til den. TSig-svagheden skal ikke forveksles med et denail-of-service angreb, som ramte Microsofts web-steder sidste uge. Med TSig hullet kan hackere ændre adresseringen af URL'er, så disse web-adresser på tekstform omdirigeres til forkerte servere. Istedet for at vise web-sider fra en professionel virksomhed får den intetanende bruger web-sider fra hackeren, pornosider eller andre ubehageligheder, som hackeren finder for sjov at vise istedet.
Desuden åbner denne svaghed også mulighed for at omdirigere emails til forkerte adresser.

Organisationen ISC har selv på sine web-sider tydelig offentliggjort, at der er huller i sikkerheden for diverse versioner af BIND. Du finder organisationen på web-adressen: http://www.isc.org/. ISC skriver, at hvis man kører nogen som helst version af BIND 8, skal man opgradere til version 8.2.3 af hensyn til sikkerheden.
ISC har en list over sikkerhedshuller i dokumentet BIND Vulnerabilities, som kan hentes på adressen: http://www.isc.org/products/BIND/bind-security.html.

Der arbejdes på version 9 af BIND, hvor nyeste og anbefaldede version af BIND 9.1.0. Den omtales på adressen:
http://www.isc.org/products/BIND/bind9.html. BIND 9, der kræver et UNIX system med POSIX understøttelse, får i version 9.10 kryptering baseret på OpenSSL biblioteket.

Såvel InfoWorld som ISC anbefaler kraftigt, at Internet-udbydere (Internet Service Providere - ISP'er) bruger tid på at installere de nyeste patches eller opgraderer deres BIND.

Danmarks situation

Situationen i Danmark

Safe2day har udsendt en vurdering af situationen i Danmark. En tekniker fra sikkerhedsportalen lavede en undersøgelse af 100 domænenavne for store og mellemstore virksomheder samt offentlige institutoner. Blandt disse havde 65% af domænenavnene risiko for problemer, fordi disse lå på DNS-servere i samme netværkssegment. De udsatte virksomheder fordelte sig på følgende typer med 30% små og mellemstore virksomheder, 25% offentlige institutioner og 45% større virksomheder i Danmark.

Listen tæller finansinstitutioner, teleoperatører, kommunikationsleverandører til forsvaret, en global softwareudbyder, en af Danmarks største virksomheder samt ministerier og andre. Også politiets websted befandt sig i gruppen. Safe2day konkluderer, at hvis ikke branchens egne store virksomheder kan sikre deres systemer, da er brugerne ganske dårligt stillet.

Informationer om nye sikkerhedshuller spredes ud over hele Internet overnight med stor hastighed, hvor teenagere for fem dollar kan købe anvisninger og en cd-rom med værktøjer til at hacke systemerne. Derfor er det afgørende, at professionelle reagerer mindst lige så hurtigt og får installeret de patches, rettelser og nye versioner, der sendes ud på Internet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere