it-säkerhet

”Sluta lappa och laga dns med gummisnodd”

Lämna en kommentar

”Var och en som oroar sig för att de är sårbara för attacker mot domännamnssystemet kan bota den oron genom att införa dnssec.” Det skriver Anne-Marie Eklund Löwinder i sin krönika.

Att domännamnssystemet är sårbart för vissa typer av attacker har varit känt sedan minst 1990! Att det blir lättare och lättare att genomföra attackerna har varit riktigt smärtsamt känt sedan vetskapen om den så kallade Kaminskybuggen drog som ett svart moln över världen sommaren 2008.

Förlåt, men jag blir lite trött av att läsa (ännu en artikel som den från den 3 september med den fantastiska titeln dns-attackerna – hydran som kan anta olika former) om att domännamnssystemet är sårbart för attacker.

Visst går domännamnssystemet att attackera på olika sätt, precis som allting annat. Du som användare på Internet kan bli uppsnurrad och hamna någon annanstans utan att du märker ett dugg. All e-post till din domän kan styras om så att den går via en annan server, tankas av och skickas vidare till slutdestinationen, det märker du inte heller.

Skräcksommaren 2008 satte fokus på att göra en quick-fix för att snabbt lösa det som var en del av de svagheter i dns som möjliggjorde Kaminskyattacken. Dnssec är bevisligen den långsiktiga lösningen på den och andra svagheter.

Vi skriver 2013 nu. Fortfarande är dnssec inte infört ens hos många av samhällets mest kritiska funktioner. Var och en som oroar sig för att de är sårbara för attacker mot domännamnssystemet kan bota den oron genom att införa dnssec. Det löser inte alla problem, men det löser en hel del.

Men nej då, i stället fortsätter vi kollektivt att lägga pengar, resurser, tankeverksamhet, tid och möda på att lappa och laga dns med gummisnodd, tejp och ståltråd för att lösa problem som dnssec redan löser. Varför inte bara införa det? Ta tag i det nu!

Det som behövs är lite ordning och reda och möjligen lite uppgradering av infrastruktur, processer, rutiner och kompetens. Börja med att se över den befintliga infrastrukturen. Det är ju onödigt att få röd flagg i dnscheck om man är en svensk storbank för att man påstår i dns att man har fler namnservrar än vad som är fallet.

Det är lika onödigt att signera domänen och sedan inte publicera nyckeln i zonfilen hos toppdomänen. Det är också onödigt att ha Internetoperatörer som har slagit på validering av dnssec-signaturer i sina resolvrar om det inte finns några signaturer att validera.

Av 92 testade banker verksamma i Sverige är det tre som är signerade. Bara en av dem, Ålandsbanken, har både infört dnssec och gjort allt så rätt att de får grönt ljus hela vägen. Grattis! Kära banker, lägg lite resurser på att städa upp i er dns-infrastruktur och sätt igång och signera. Prata med den som sköter om er miljö. Kära alla ni andra, gör det ni också.

För att göra det lite enklare för er har vi nyligen publicerat en vägledning med rekommendationer om vad som behöver göras. Läs den, eller ge bort den till någon som borde läsa den. Ni hittar den på https://www.iis.se/nyheter/ny-vagledning-med-rekommendationer-for-inforande-av-dnssec/ och även om ni inte tillhör den lyckligt lottade skara som kan få viss finansiering av MSB så kan ni i alla fall använda er av vägledningen. Den är gratis.

Anne-Marie Eklund Löwinder är säkerhetschef på Punkt SE.

Källa: Computer Sweden/Säkerhet 24

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s