Mig veterligen har någon för första gången upptäckt en möjlighet att attackera resurser på internet på ett sätt som inte går att härleda till en enskild leverantör, en enstaka applikation eller en viss hårdvara. Nej, Kaminskybuggen är en svaghet i domain name system, dns, ett av internets viktigaste underliggande protokoll.
Den amerikanske forskaren Dan Kaminsky upptäckte i somras ett sätt att utnyttja svagheten för att attackera dns, ett sätt som enkelt kan användas för riktigt otäcka attacker mot resurser på nätet och lura användare utan att de har en chans att upptäcka att de blir lurade.
Medan användaren tror att kommunikationen sker med exempelvis banken skickar användaren i stället känslig information som kontonummer och lösenord till en angripares server. Metoden kallas cache poisoning och gör det enkelt att genomföra så kallat nätfiske eller phishing. Cache poisoning drabbar främst namnservrar som agerar rekursiva resolvrar, vilket är den typ av namnserver som används när användarens dator ska slå upp domännamn och översätta dem till ip-nummer.
Dan Kaminsky kom ganska snabbt på det klara med att han hade upptäckt något riktigt bra, eller snarare riktigt dåligt. Först och främst gällde det för honom att bli trodd. Säkerhetsmänniskor är nämligen mycket misstänksamma. Allt för många ropar ”vargen kommer” om brister som de påstår sig ha upptäckt, bara för att senare dementera och motvilligt erkänna att de haft fel.
Dan Kaminsky tvungen att slå larm utan att visa exakt var i koden problemet låg, eftersom det vore samma sak som att peka ut för hela världen med en stor röd pil var de skulle leta.
Eftersom det rör ett protokoll och inte någon enskild produkt gällde det att få alla leverantörer att ta fram en uppdatering som de kunde och ville släppa exakt samtidigt. Bind måste ta fram en patch, Microsoft, Cisco, Sun, Ubuntu. Alla. Det har aldrig hänt förut.
Chock: Vad i hela friden är det här? Insikt: Vi måste göra något åt det. Lösning: Det finns många möjliga lösningar, vilken skyddar bäst?
Det visade sig att svaret på den frågan faktiskt hade besvarats av en annan kändis från internetvärlden, Dan J Bernstein, som föreslagit åtgärder för många år sedan, som ingen tog till sig då.
Nu återstår bara för alla som behöver uppdatera sina resolvrar att göra det. Var också medvetna om att det inte ger något definitivt skydd, ni bara köper er lite tid. Den långsiktiga lösningen heter dnssec.
Anne-Marie Eklund Löwinder är informationssäkerhetsansvarig på Stiftelsen för internetinfrastruktur.
- IT
- CIO Sweden
- Computer Sweden
- CS Jobb
- CSO
- Executive Report
- IDG.se
- Internetworld
- IT i vården
- IT24
- IT-tjej
- Level
- M3
- MacWorld
- PC för Alla
- TechWorld
- Testcentret
- ANDRA OMRåDEN
- Big Twin
- Biotech Sweden
- CAP&Design
- MiljöAktuellt
- Studio
- Teknik360 NY!
- Upphandling24
- MER FRåN IDG
- Branschkoll
- Kundcase
- Nyhetsbrev
- Pressmeddelanden
- Whitepapers & Webcasts
Vem tycker du är
OBS! Denna artikel är mer än tio dygn gammal och är därför stängd för vidare debatt.