Angreb mod internettets navneservere er formentligt kun blusset op, fordi de netværksansvarlige i en række større virksomheder har glemt at holde deres navneserver-software opdateret.
- Jeg tror, der er tale om et midlertidigt problem. Angrebsformen er særdeles velkendt, og der findes opdateringer til det meste software. Men nogle folk har sløset med at få opdateret, siger Andrew Christensen fra sikkerhedsfirmaet Protego.
Internetsvindlere har med held gennem de seneste uger udnyttet internettets navneserver-system til at dirigere intetanende brugere ind på suspekte hjemmesider.
Peger på falsk hjemmeside
Ved hjælp af såkaldt DNS-forgiftning kan en hacker ændre i registreringerne på en lokal navneserver, så et værtsnavn kommer til at pege på en falsk hjemmeside.
Eksempelvis kan et angreb mod en virksomheds navneserver betyde, at brugerne i stedet for at blive stillet om til www.computerworld.dk bliver stillet om til www.tonsvisafspyware.ru.
Hvad er DNS? DNS (Domain Name System) er den måde, som bruges til at oversætte det "menneskelige" navn som eksempelvis www.computerworld.dk til en IP-adresse. En IP-adresse angiver entydigt en computers placering på internettet. Hvad er DNS-forgiftning?DNS-forgiftning eller "DNS poisoning" er basalt set en metode, der gør det muligt at ændre den adresse, som et værtsnavn oversættes til. Kilde: SANS Internet Storm Center |
Han vurderer, at angrebene ikke har været målrettet mod bestemte virksomheder. I stedet har angriberne blot gået efter at ramme så mange sårbare systemer som muligt.
Internetudbydere opmærksomme
Hos den danske internetudbyder Cybercity har man været opmærksom på fænomenet DNS-forgiftning siden 1990'erne.
- Det er relativt enkelt at undgå: Man sørger for at have sin navneservers software up-to-date, siger udviklingsdirektør Jesper Hansen.
DNS-forgiftning er dukket op med jævne mellemrum over de sidste mange år. Hver gang har det været i forbindelse med opdagelsen af nye sikkerhedshuller, som siden er blevet lappet.
- Når man hver gang får lappet et sikkerhedshul, så falder sandsynligheden for denne type angreb vel over tid. Men det kræver selvfølgelig, at alle får opdateret, siger Jesper Hansen.
Han peger på, at internetudbyderne typisk har godt styr på at holde navneserverne opdateret, mens det måske kan halte ude i virksomhederne, hvor den ansvarlige også har mange andre opgaver at passe.
Uopdagede angreb mod e-mail
Det betyder også, at angreb mod navneservere sagtens kan finde sted hele tiden, uden nogen opdager det.
- Jeg er ikke sikker på, at mange ville opdage, hvis de var offer for et målrettet angreb, siger Andrew Christensen.
Eksempelvis kan en hacker placere sig som "manden i midten" og opsnappe en virksomheds e-mail-korrespondance ud af huset.
Den eneste løsning er at opdatere sin navneserver-software og konfigurere sin DNS så sikkert som praktisk muligt. Eksempelvis ved at sørge for, at den skal spørge flere forskellige andre navneservere for at få bekræftet, når en server skifter adresse.
- Forhåbentligt forsvinder problemet snart. Opdateringerne findes derude, så måske er det overstået allerede om en uge, siger Andrew Christensen.
De sårbarheder, der har været skyld i de seneste angreb, findes de kommercielle produkter, som typisk anvendes af virksomheder. Flere af den samme type sårbarheder blev rettet i Unix og open source-navneservere sidst DNS-forgiftning var i søgelyset i slutningen af 1990'erne.
Relevante link