DNS-fiksen har selv et stort sikkerhetshull

En russisk forsker har påvist at nettet fortsatt er sårbart for DNS-angrep, trass fiksen.

Alle større norske teleoperatører skal ha patchet sine navnetjenere etter det tidligere i år ble kjent at Internetts navnetjenere, domain name system (DNS), har en alvorlig sårbarhet.

Sikkerhetsekspert Dan Kaminsky avslørte hvordan en kjent sårbarhet i DNS-systemet effektivt kan utnyttes gjennom såkalt «DNS cache poisoning».

Svakheten skal gjøre det mulig å omdirigere nettrafikken, slik at brukere sendes til feil nettside uten å merke noe. Det er selve DNS-protokollen som gjør dette mulig, og dermed berører alle navnetjenere helt uavhengig av programvare eller plattform de kjører på.

Svindlere kan tenkes å utnytte svakheten, for eksempel ved å sende brukere til en falsk nettbank, for der å tappe kundenes passord.

Tidligere har digi.no skrevet at bare halvparten av nettets DNS-tjenere har fått installert feilfiks som skal lukke hullet.

En russisk fysiker demonstrerte fredag at feilfiksen selv har en sårbarhet, som helt sikkert vil bli utnyttet av kriminelle.

    Les også:

Evgeniy Polyakov skriver i bloggen sin at han etter bare ti timer greide å lure programvaren som fungerer som nettets adressebok til å returnere en falsk adresse.

Eksperter som har undersøkt Polyakovs tilnærming bekrefter ifølge New York Times at metoden fremstår som effektiv.

Kaminsky selv holdt onsdag i forrige uke et foredrag på en teknisk konferanse i Las Vegas. Der fortalte han at sårbarheten slett ikke bare truer websurfing. Også andre tjenester, som for eksempel e-post skal være i faresonen.

Svindlere og kriminelle skal allerede være godt i gang med å utnytte sårbarheten i vinnings hensikt:

Forskningssjef Bill Woodcock i nonprofit-organisasjonen Packet Clearing House forteller til New York Times at de har observert angrep som utnytter DNS-hullet de siste to ukene.

De første angrepene forsøkte å spre ondsinnet programvare, sier Woodock, men i det siste har det vært flere forsøkt på såkalt phishing, som har til hensikt å stjele personlig informasjon fra personer.

Det er nå nærmest sikkert at omfanget av slike angrep vi tilta, mener forskningssjefen.

Mer enn tre fjerdedeler av alle DNS-servere skal nå ha installert feilfiks. Uten denne ville det ifølge Woodcock tatt bare ett sekund å legge inn falsk informasjon i adressedatabasen.

Men selv med feilfiksen på plass, vil angrep være mulig i løpet av minutter eller timer, sier han til den amerikanske avisen.

Russisk rulett

DNS-systemet ble laget i 1983, og var aldri ment for å styre en infrastruktur som skulle være sikker nok til for eksempel elektroniske banktjenester.

Dr. Paul Mockapetris er kjent som en av oppfinnerne av DNS-arkitekturen. Han beskriver den siste tids patching av DNS-servere som det å «spille russisk rulett med en pistol som har plass til 100 kuler i stedet for bare seks».

Poenget, mener han, er å ta pistolen ut av folks hender.

Mange sikkerhetseksperter ser på DNSSEC som en mulig løsning. Dette er et sikkerhetstillegg som introduserer kryptering til DNS-systemet. Mekanismene den innfører krever imidlertid endringer i DNS-protokollen.

- DNSSEC løser ikke Kaminsky-problemet over natten, men det vil være løsningen på lengre sikt, sier DNS-eksperten Richard Lamb hos ICANN (Internet Corporation for Assigned Names and Numbers) til NYTimes.

Kritikere hevder at krypteringen gjør at denne løsningen er upraktisk, blant annet fordi den krever mer datakraft, og fordi det vil være vanskelig å få hele verden til å ta standarden i bruk.

    Les også:

Til toppen