Computerworld News Service: Overvågningen af internettrafik for at opsnappe telefonsamtaler eller tracke internetbrugeres adfærd er et varmt emne – men det, der virkelig holder medlemmer af ICANN's Security and Stability Advisory Committee (SSAC) vågne om natten, er overvågning af trafik til og fra websites, der slet ikke eksisterer. ICANN's rådgivende komité for sikkerhed og stabilitet forklarede hvorfor til et offentligt møde i Paris i mandags.
Der er stadig et par mulige domænenavne derude, der endnu ikke er registrerede, og hvis man tilfældigvis taster et af dem ind i sin browsers adressefelt, skulle man meget gerne få en fejlmeddelelse fra domain name-systemet (DNS), der fortæller, at domænet ikke eksisterer.
Hvad, der sker med de fejlmeddelelser, bekymrer SSAC's medlemmer, som rådgiver om sikkerheden og integriteten af domain name-systemerne, som Internet Corporation for Assigned Names and Numbers (ICANN) koordinerer.
Nogle internetudbydere og domænenavnsregistre ser på disse fejlmeddelelser som en mulighed for "hjælpe" deres kunder med at finde det site, de leder efter – og for samtidig at tjene lidt penge. Det gør de ved at opsnappe fejlmeddelelserne og modificere dem til at omdirigere brugeren til et website, som de kontrollerer, typisk med reklameannoncer med relation til det indtastede domænenavn.
Sikkerhedshuller
"Der er et anslået marked på en milliard dollars inden for løsning af domænefejl (domain name resolution, red.)," udtaler Dave Piscitello, ICANN's ledende sikkerhedsteknolog.
Piscitello sidder på en lang liste over, hvorfor udbydere og domænenavnsregistre ikke burde have lov til at tjene på folks fejlindtastninger på denne facon.
På toppen af listen er, at det kan åbne sikkerhedshuller i brugeres computere: Sikkerhedsekspert Dan Kaminsky demonstrerede i april, hvordan man kan udnytte det omdirigeringssystem, der bruges af den amerikanske internetudbyder Earthlink ved DNS-fejlmeddelelser, til at afvikle sin egen JavaScript på en brugers computer. Kaminsky løftede sløret for sine resultater, da domænenavnsregistret Network Solutions begyndte med en lignende omdirigeringspraksis.
Sådanne sikkerhedshuller ville være slemme nok, hvis en bruger indtastede for eksempel "idnbank.dk" i stedet for "dinbank.dk". Men hvis en bruger indtastede adressen til en ikke-eksisterende server såsom "ww.dinbank.dk" i stedet for www.dinbank.dk, så kan en angriber afvikle ondsindet JavaScript på den omdirigerende side, som om koden kom fra banken selv, og derved muligvis stjæle bankens identitet.
"Hvis jeg var en bank, ville jeg bestemt ikke ønske, at dette skete for mig," udtaler Piscitello.
Nogle domænenavnsregistre forbeholder sig retten til at placere reklameannoncer på fejlmeddelende sider, og det eneste, som domænenavnsejere kan gøre for at undgå det, er, at vælge et domænenavnsregister, der ikke forbeholder sig denne ret.
"Grunden, til at dette er så skadeligt, er, at langt størstedelen af folk, der registrerer et billigt domæne, kunne ikke være mere ligeglade," udtaler han.
Der bliver kamp
I forhold til internetudbydere kan brugere skifte til en udbyder, der ikke omdirigerer – eller håbe på at et sikkerhedshul bliver afsløret, og at dette får udbyderen til at deaktivere omdirigeringen i stedet for blot at lappe hullet, som Earthlink gjorde efter Kaminskys afsløring.
Selv om omdirigeringen fra fejlmeddelelser til reklameannoncer i dag kun omfatter websites, er Piscitello bekymret for, at fænomenet vil sprede sig til anden brug af nettet.
"Hvad med modificering af e-mail-optegnelser eller IP-telefoni-optegnelser?" spørger han. Hvis en VoIP-operatør prøver at route et opkald til en anden operatør og finder ud af, at der ikke er relateret nogen bruger til den pågældende IP-adresse, "hvad skulle så stoppe operatøren fra at omdirigere opkaldet til en reklamemeddelelse, der for eksempel fortalte, at 'dette ville ikke ske, hvis du brugte vores tjeneste'?"
"Det kommer til at blive en kamp, for der er mange penge på spil," konkluderer Piscitello.
Oversat af Thomas Bøndergaard
