Hur tacklar man Kaminsky?
Under sommaren 2008 offentliggjorde säkerhetsforskaren Dan Kaminsky information om sårbarheter i DNS. Andra sårbarheter har varit kända sedan tidigare, men den så kallade Kaminskybuggen var något helt nytt.
Det finns två typer av namnservrar, auktoritativa namnservrar och rekursiva resolvrar. De auktoritativa namnservrarna ger information om domännamn till allmänheten och påverkas inte direkt av Kaminskybuggen, även om de spelar en viktig roll när sårbarheten ska elimineras. En rekursiv resolver används när din dator ska slå upp domännamn och översätta dessa till IP-nummer. Det är denna funktion som kan vara sårbar på grund av Kaminskybuggen.
Uppdateringar finns
De typiska programvaror som används av en rekursiv resolver är ISC BIND, Unbound och Microsoft DNS Server. Eftersom sårbarheterna som Dan Kaminsky hade upptäckt var så allvarliga så informerades samtliga DNS-programleverantörer innan allmänheten fick ta del av informationen. På så vis kunde de i förväg utveckla motmedel. Därför borde din systemansvarige i dag inte ha några svårigheter att uppdatera programvarorna för din rekursiva resolver.
Trots att uppdateringarna finns tillgängliga kommer det att ta tid innan alla rekursiva resolvrar har åtgärdats. Stora namnservrar hos till exempel din Internetleverantör har med all säkerhet redan uppgraderats. Förmodligen använder deras auktoritativa namnservrar också redan DNSSEC. Detta är en serie tillägg till DNS som bland annat säkerställer att svaren på DNS-förfrågningar kommer från rätt server med hjälp av digitala signaturer (läs mer nedan).
Men det finns också rekursiva resolvrar som ingen bryr sig om. En systemadministratör har kanske bytt jobb och den nyanställda vet inte riktigt hur alla tjänster på ert företag fungerar. För att ta reda på om en namnserver som du använder är sårbar eller använder DNSSEC kan du använda funktionen "Testa din dator" på denna webbplats.
Uppgradera din programvara
Om testet visar att du använder en sårbar rekursiv resolver är det mycket lämpligt att uppgradera till en version av din namnserverprogramvara som försvårar en Kaminskyattack. Kontakta din operativsystemsleverantör eller programleverantör om du inte vet var du kan få tag på uppgraderingar.
DNSSEC är lösningen
Den långsiktiga lösningen på Kaminskybuggen är att namnservrarna på Internet börjar använda DNSSEC (DNS Security Extensions). Dessa tillägg till DNS gör uppslagningar på domännamn säkrare genom att de blir kryptografiskt signerade. På så vis går det att säkerställa att svaren på DNS-förfrågningar verkligen kommer från rätt källa och att de inte har ändrats på vägen. (Du kan läsa mer om DNSSEC här.)
För att du ska kunna vara säker på att det DNSSEC-signerade svaret kommer från rätt källa måste din rekursiva resolver också kontrollera att signaturen har skapats med rätt nyckel. Det sker genom att följa det som kallas ”chain of trust” och vad gäller .se-zonen slutar denna i .se-domänens rotserver. Om du vill att din rekursiva resolver ska använda sig av DNSSEC för .se-zonen ska du följa instruktionerna här.
