Internettets farlige smuthuller

Der opstår til stadighed nye sikkerhedshuller på internettet, som stiller store krav til udviklingen af nyt software. • Også en sund skepsis fra brugernes side er nødvendigt, hvis man vil undgå at blive snydt.

Når vi indtaster navnet på en hjemmeside i vores internetbrowser, får vi hjælp af et af verdens største systemer af databaser. Taster vi eksempelvis www.danskebank.dk, oversættes dette til et langt nummer, der er umuligt at huske.

DNS-systemet, som de mange databaser kaldes, har siden 1983 hjulpet brugerne rundt på internettet. Det består i dag af tusindvis af navneservere, som efter et sindrigt system synkroniserer adresseoplysninger med hinanden. Men tænk nu, hvis der var et sikkerhedshul i dette - helt uundværlige - system? Det har der været - mindst én gang.

For et år siden lå den amerikanske sikkerhedsnørd Dan Kaminsky syg af influenza. Mens andre ville se film, legede han i stedet med sin internetudbyders navneserver. Til sin gru opdagede han, at det var muligt at ændre dens indhold. Han havde i sin febervildelse lavet den ultimative hackning: Han kunne nu ændre oversættelsen af enhver web-adresse i verdenen - eksempelvis www.danskebank.dk. Og på den måde svindle sig til millioner eller milliarder af dollars.

Heldigvis er Dan en ærlig mand. Derfor kontaktede han i stedet Poul Vixie, som arbejder for en af de vigtigste leverandører af det software, som navneserverne bruger. Herefter startede en redningsplan, der er en agentfilm værdig. Dramaet er levende beskrevet på wired.com.

Poul Vixie samlede i dybeste hemmelighed alle leverandørerne af navneserversoftware i Seattle. Her fortalte Dan Kaminsky dem om sin opdagelse.

Det lykkedes at holde sikkerhedshullet hemmeligt, og den 8. juli 2008 frigav Microsoft, Cisco og mange andre en sikkerhedsrettelse, der løste problemet. Uden at røbe, hvad problemet var. Men allerede den 21. juli kom sikkerhedseksperten Thomas Ptacek til at offentliggøre en beskrivelse af sikkerhedshullet på sit firmas hjemmeside. Selv om han forsøgte at slette dokumentet, var det for sent: Når noget først er kommet på internettet, kan det ikke trækkes tilbage.

Der gik da også kun en uge, før hackere sørgede for, at internetbrugere i byen Austin blev sendt til en fup-side, når de skrev www.google.com i deres browser. Men langt de fleste navneservere var blevet opdateret, og derfor blev kun få brugere snydt. Men forløbet viste, hvor vigtigt det er at sikre DNS-systemet yderligere. Hvis en febersyg mand kan finde ét hul, er der sikkert flere.

For 10 år siden blev der udviklet en sikkerhedsstandard, som for alvor kan sikre DNS-systemet. Den hedder DNSSEC (Domain Name System Security Extentension). Problemet med den er, at den skal indføres oppefra. Det vil sige.at de, der administrerer et lands internetdomæne, skal indføre det først. Derefter skal internetudbydere og de mange andre, der driver navneservere, indføre teknologien.

På domænenavnsadministratorernes møde i Cairo i november 2008 opfordrede deres fælles interesseorganisation, ICANN, derfor indtrængende de deltagende lande til hurtigst muligt at begynde implementeringen af DNSSEC.

I skrivende stund er DNSSEC kun indført i en håndfuld lande, eksempelvis Sverige. Men ikke i Danmark.

Dan Kaminsky sagde på en sikkerhedskonference, at »internettet kan ikke reddes, vi kan højst udskyde det uundgåelige lidt tid endnu«. Lad os håbe, at navneadministratorer og internetudbydere lægger sig i DNSSEC-selen for at modbevise hans triste spådom.

Indtil navnesikkerheden er bedre på plads, er vi nødt til at udvise sund skepsis over for alle hjemmesider, vi besøger. Hvis bankens hjemmeside eksempelvis pludselig spørger efter oplysninger, den ikke har spurgt efter før, så kan det være et tegn på, at adressen er overtaget af svindlere.

Så vær forsigtig derude på internettet - også af denne grund.

BRANCHENYT
Læs også