DNS er vigtig
Er håndteringen af web-adresser med Domain Name Servere (DNS) særlig sikre og stabile? Nej. Og danske virksomheder burde også tage problemerne mere alvorligt. Men det vender vi tilbage til.
Alle Microsoft-haderne kunne grine skadefro over softwaregigantens problemer med web-stederne i sidste uge. Men andre har mere seriøst spurgt til, hvorvidt problemet er generelt og også rammer andre? Er der svagheder i DNS, som gør det sårbart for fejl og hackerangreb? Og svaret er: JA. Vi forklarer det her.
DNS er adressering af web-sider
DNS er de servere, som forbinder URL-adresser på web-sider formuleret i let læselig tekst til ip-adresser med fire numre. Når du taster www.pcworld.dk i din browser, så er det en DNS-server, som oversætter det til ip-adressen med fire tal.
Web-serverne skal findes via ip-adressen, så DNS oversættelsen fra teksten er helt nødvendig. Da Microsofts DNS i sidste uge var ramt af fejl og hackerangreb, betød det,at web-serverne på www.microsoft.com, www.msn.com og mange andre adresser ikke svarede. Web-serverne fejlede ikke noget, og ip-adresseringen var også fuld funktionsdygtig. Men kundernes forespørgsler nåede aldrig frem til web-serverne.
DNS er ikke en enkel central-server. Tværimod er det blandt Internet-verdenens største distribuerede databaser. Det betyder, at DNS-serverne indgår i et netværk, hvor de udveksler informationer. Når du får oprettet et nyt domænenavn som www.min-side.dk, så registreres det sammen med et ip-nummer i tabellerne over navne. Denne registrering sendes ud i hele verden med angivelse af, hvor Internettets routere skal sende forespørgsler, når kunder fra hele verdenen skriver http://www.min-side.dk. På den måde sikrer DNS, at en net-surfer i Hong Kong kan læse din web-side med denne URL.
Microsofts problem
Microsofts problem
ZDnet og andre nyhedstjenester har rejst spørgsmålet, om ikke problemet for Microsoft er lidt pinligt. Firmaet burde være ekspert i at håndtere og styre DNS, så denne type fejl prellede af som vand på en gås. Hvis Microsoft ikke kan sikre sig, hvem kan så?
ZDnet skriver, at Microsoft ikke har backup på sit system for distributionen af DNS informationerne. Microsofts servere ligger på samme fysiske netværk, hvor de kunne have fordelt dem på flere forskellige net. Branchens andre store web-steder som AOL, Yahoo og Disney har DNS-backupservere på forskellige netværk, så de netop spreder belastning og risiko. ZDnet sætter tal på Microsofts tab, der skulle ligge på to millioner dollar, samt en masse dårlig omtale. Men tilføjer de, DNS-systemet er så centralt, at det kunne have været meget værre.
Huller i BIND
Huller i BIND
BIND betyder Berkeley Internet Name Domain, og det er et af de vigtigste programmer, der driver DNS-systemet. Det er software, der distribueres gratis fra organisationen Internet Software Cornsortium (ISC).
BIND er implementering af DNS protokollerne. BIND DNS servere bliver brugt af det store flertal af navneservice maskiner på det globale Internet. BIND giver en stabil arkitektur og organisation af hele navneservicen. Det giver de programsnitflader, som DNS bruger til at udveksle og opdatere web-adressernes navne og numre med.
Infoworld skriver, at der er sikkerhedshuller i flere versioner af BIND. Specielt er der sikkerhedshuller i flere af versionerne i serierne 4 og 8 af BIND. Det såkaldte TSig (Transaction signatures) sikkerhedshul i version 8.2.x giver hackere mulighed for at kontrollere DNS servere, og derefter omdirigere trafikken eller blokere forespørgsler til den. TSig-svagheden skal ikke forveksles med et denail-of-service angreb, som ramte Microsofts web-steder sidste uge. Med TSig hullet kan hackere ændre adresseringen af URL'er, så disse web-adresser på tekstform omdirigeres til forkerte servere. Istedet for at vise web-sider fra en professionel virksomhed får den intetanende bruger web-sider fra hackeren, pornosider eller andre ubehageligheder, som hackeren finder for sjov at vise istedet.
Desuden åbner denne svaghed også mulighed for at omdirigere emails til forkerte adresser.
Organisationen ISC har selv på sine web-sider tydelig offentliggjort, at der er huller i sikkerheden for diverse versioner af BIND. Du finder organisationen på web-adressen: http://www.isc.org/. ISC skriver, at hvis man kører nogen som helst version af BIND 8, skal man opgradere til version 8.2.3 af hensyn til sikkerheden.
ISC har en list over sikkerhedshuller i dokumentet BIND Vulnerabilities, som kan hentes på adressen: http://www.isc.org/products/BIND/bind-security.html.
Der arbejdes på version 9 af BIND, hvor nyeste og anbefaldede version af BIND 9.1.0. Den omtales på adressen:
http://www.isc.org/products/BIND/bind9.html. BIND 9, der kræver et UNIX system med POSIX understøttelse, får i version 9.10 kryptering baseret på OpenSSL biblioteket.
Såvel InfoWorld som ISC anbefaler kraftigt, at Internet-udbydere (Internet Service Providere - ISP'er) bruger tid på at installere de nyeste patches eller opgraderer deres BIND.
Danmarks situation
Situationen i Danmark
Safe2day har udsendt en vurdering af situationen i Danmark. En tekniker fra sikkerhedsportalen lavede en undersøgelse af 100 domænenavne for store og mellemstore virksomheder samt offentlige institutoner. Blandt disse havde 65% af domænenavnene risiko for problemer, fordi disse lå på DNS-servere i samme netværkssegment. De udsatte virksomheder fordelte sig på følgende typer med 30% små og mellemstore virksomheder, 25% offentlige institutioner og 45% større virksomheder i Danmark.
Listen tæller finansinstitutioner, teleoperatører, kommunikationsleverandører til forsvaret, en global softwareudbyder, en af Danmarks største virksomheder samt ministerier og andre. Også politiets websted befandt sig i gruppen. Safe2day konkluderer, at hvis ikke branchens egne store virksomheder kan sikre deres systemer, da er brugerne ganske dårligt stillet.
Informationer om nye sikkerhedshuller spredes ud over hele Internet overnight med stor hastighed, hvor teenagere for fem dollar kan købe anvisninger og en cd-rom med værktøjer til at hacke systemerne. Derfor er det afgørende, at professionelle reagerer mindst lige så hurtigt og får installeret de patches, rettelser og nye versioner, der sendes ud på Internet.