Mange danske navneservere er stadig usikre

En måned efter sikkerhedsopdateringen kom ud er mange danske DNS-servere stadig upatchede. Skat.dk er blandt de mange offentlige websider, der stadig er sårbare over for angreb på navneserveren.

Et sikkerhedshul i internettets grundlæggende telefonbog, Domain Name System (DNS), har den seneste måned trukket dommedags-overskrifter og ført til dystre spådomme om, hvor galt det kunne gå, hvis sårbarheden skulle blive udnyttet med onde hensigter.

Men selvom det er en måned siden, der blev frigivet en sikkerhedsopdatering, er mange danske navneservere stadig usikre. Det afslører et testværktøj fra organisationen Internet Corporation for Assigned Names and Numbers (IANA), som siden internettets start har stået for DNS-håndteringen (se link under artiklen).

Blandt de webadresser, der får betegnelsen ?meget sårbar?, er skat.dk, oplyser sikkerhedsfirmaet Comendo. Via denne adresse har 850.000 danskere logget ind og brugt tast-selv-service og dermed indtastet personlige oplysninger. Jobnet.dk er en anden webside, der ikke består testen. Her er jobsøgende tvunget til at logge ind jævnligt og opdatere deres CV.

Omdirigering af trafik

Sikkerhedshullet i DNS betyder, at hackere har mulighed for at omdirigere trafik fra et bestemt domæne til for eksempel en phishing-side, der fisker efter passwords til netbank eller lignende.

En række andre store danske websider får også det røde kort i sikkerhedstesten. Blandt andet dr.dk, folketinget.dk og finansministeriet.dk.

DNS-hullet blev opdaget i foråret af den amerikanske it-sikkerhedsforsker Dan Kaminsky. I samarbejde med blandt andet Cisco og Microsoft blev en sikkerhedsopdatering i al hemmelighed sat sammen, og i starten af juli blev den frigivet.

Dermed skulle muligheden for at hackere kunne overtage kontrollen med en DNS-server være minimeret. Men en russisk it-udvikler har påvist, at sikkerhedsopdateringen blot gør det sværere, men ikke umuligt at udnytte sårbarheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Hvem der dog har foretaget den undersøgelse?

Fordi det er jo primært DNS Resolvers og Stub-Resolvers,
som er udsat i forhold til det her DNS-exploit.

Men hvis Skat.dk tillader rekursive opslag, og hvis
de ikke har opdateret deres navneserver, ja så har de
selvfølgelig et hul i deres software.

Problemet er så, er der virkelig nogen som bruger
Skat's navneservere som resolvere? Det tror jeg da
ikke, foruden måske Skat selv, hvis de da ikke er
hostet hos et dedikeret selskab.

De steder som er sårbare overfor de ting som er
beskrevet i denne artikel var/er primært ISP's og
f.ex. OpenDNS og lignende tjenester.

Dog findes der da andre huller som kan udnyttes på
en anden måde, men jeg tror nu ikke at folk selv
slår alle deres forespørgsler op hos Skat's navne-
server, så desværre. Det er ikke noget réelt problem.

Selvfølgelig hvis Peter Kruse har foretaget denne
undersøgelse undrer det mig ikke. :)

Mr. X (=D)

Torben Bendtsen

Det er rimelig tydeligt, at der er et par "kloge-åge" der ikke helt forstår omfanget og problematikken.

Hvis eks. skat.dk's dns servere udsættes for et gennemført angreb, hvor der indlægges en uægte ip, hvilke konsekvenser tror i så det har når en medarbejder hos skat lokkes til at bruge et link der peger til en service der er ændret.

Eller hvad med skat's interne systemer der foretager opslag når de skal finde ip-adressen for en host.

Betragt dns sårbarheden som en trojaner funktion - bare på et helt andet niveau.

Torben Bendtsen

Thomas,

> At deres SOA-ns'er så tilsyneladende tillader
> rekursive opslag er heller ikke for heldigt.

Så er vi på fælles fodslag. Jeg er bare træt af at høre om bortforklaringer og hvem der bruges til citat. Who cares. Sårbarheden er reel og flere har råbt vagt i gevær efter opdateringerne er ude.

Så luk da for skidtet efter bedste evne. Brug ikke tiden på at finde undskyldninger om hvorfor det ikke skal gøres. Både mennesker og systemer fejler. Det er gerne lige det der tipper læsset.

Log ind eller Opret konto for at kommentere