En DNS er essentiel for alle virksomheder, som er afhængige af deres online tilstedeværelse for at generere salg. DNS-kapring er en stigende trussel, og det er derfor vigtigt for virksomheder at kende til denne form for cyberangreb.
Hvad er en DNS-server?
DNS er en forkortelse for Domain Name System, som er det system, der muliggør kommunikationen mellem en computer og internettet.
En DNS eller Domain Name System konverterer URL'er, f.eks. "www.virksomhed.dk", til maskinlæsbare IP-adresser. Enhver enhed, der er forbundet til internettet, har en IP-adresse, der består af tal. En IP-adresse bruges af en computer til at identificere sig selv og kommunikere med andre enheder. DNS'ers grundlæggende funktion er at synkronisere domænenavne med de tilsvarende IP-adresser, så brugere kan matche deres anmodninger med de relevante hjemmesider.
Det fungerer på den måde, at man sender en forespørgsel ved at skrive f.eks. "www.virksomhed.dk" i en søgemaskine. Anmodningen bliver sendt fra computeren til den relevante DNS-server, som er en server, der søger efter IP-adresser, der er knyttet til den specifikke søgeforespørgsel. DNS-servere er programmeret til at kommunikere med domæneservere, finde et match og sende det tilbage til enheden, der sendte forespørgslen.
DNS-servere gør det muligt for både webstedsejere og brugere at vælge passende og sigende domænenavne, mens enhederne på den anden side kan bruge maskinvenlige IP-adresser.
Sådan foregår DNS-kapring
DNS-kapring, eller DNS-omdirigering, betyder at brugere, når de forsøger at komme ind på en bestemt hjemmeside, omdirigeres til en falsk hjemmeside. Ved en DNS-kapring indsamles og omdirigeres al trafik fra de kompromitterede websteder til de falske websteder og dermed de IT-kriminelle. Trafikken kan f.eks. indeholde e-mails med personlige oplysninger, kreditkortsoplysninger og VPN-oplysninger.
En kapret DNS-server oversætter domænenavne på de rigtige, kompromitterede hjemmesider til IP-adresser på websteder med uønsket indhold eller falske websteder, som IT-kriminelle har skabt.
For at udføre DNS-kapring hacker de IT-kriminelle enten routere eller DNS-kommunikation. De kan også installere malware på webstedsbrugernes digitale enheder.
Hvad er formålet med DNS-kapring?
En DNS-server kan blive hacket af en række forskellige årsager. Et DNS-angreb kan anvendes til at udføre phishing, som er et cyberangreb, der narrer brugerne til at komme ind på falsk version af et websted med det formål at stjæle data eller login-oplysninger.
En internetudbyder (Internet Service Provider, ISP) kan også bruge en form for DNS-kapring til at overtage en brugers DNS-anmodninger, indsamle brugerdata og vise annoncer, når brugere tilgår et domæne. Dette kaldes "pharming". Nogle regeringer bruger DNS-kapring til censurering og omdirigering af brugere til statsautoriserede hjemmesider.
Typer af DNS-kapring
Der er fire grundlæggende typer af DNS-omdirigering:
- Lokal DNS-kapring: IT-kriminelle installerer trojansk malware på en brugers computer og ændrer de lokale DNS-indstillinger for at omdirigere brugeren til falske websteder.
- Router DNS-kapring: Mange routere har standardadgangskoder eller firmwaresårbarheder, som kan udnyttes. IT-kriminelle kan overtage en router og overskrive DNS-indstillinger, hvilket påvirker alle brugere, der er forbundet til routeren.
- "Man-in-the-middel"-DNS-kapring: IT-kriminelle opfanger kommunikation mellem en bruger og en DNS-server i realtid og indsætter forskellige destinations-IP-adresser, der fører til falske websteder.
- "Rogue DNS-Server": IT-kriminelle kan hacke en DNS-server og ændre DNS-indstillinger for at omdirigere DNS-anmodninger til falske websteder.
Omdirigering vs. Domain Name System spoofing
DNS-spoofing er et angreb, hvor trafik omdirigeres fra et lovligt websted, såsom "www.google.com", til et falsk websted, f.eks. "www.google.hi.com". DNS-spoofing kan opnås gennem DNS-omdirigering. F.eks. kan hackere kompromittere en DNS-server og på denne måde "spoofe" legitime hjemmesider og omdirigere brugere til falske hjemmesider.
Cache poisoning er en anden måde at foretage DNS-spoofing på, uden at hackerne skal være afhængige af en fysisk overtagelse af DNS-serveres indstillinger. DNS-servere, routere og computere "cacher", dvs. lagrer, DNS-optegnelser.
Hackere kan "forgifte" ("poison") DNS-cachen ved at indsætte en forfalsket DNS-forespørgsel, der indeholder en alternativ IP-destination for det samme domænenavn. DNS-serveren omsætter domænet til det forfalskede websted, indtil cachen eller lagringen er opdateret.
Sådan forhindrer du DNS-kapring
Der er adskillige sikkerhedsforanstaltninger, der kan forbedre din hjemmesides DNS-sikkerhed og forhindre DNS-kapring.
De fleste sikkerhedsforanstaltninger skal foretages af de IT-ansvarlige i en virksomhed.
Installér firewalls omkring dine DNS-servere
IT-kriminelle kan installere falske servere i DNS'er for at kompromittere dem og opfange trafik fra de legitime servere. For at forhindre dette kan man installere en firewall, der blokerer alle ikke-godkendte DNS-servere.
Forebyg cache poisoning
Der er flere foranstaltninger til at forhindre cache poisoning. De omfatter randomisering af brugeridentitet, randomisering af serverkildeporte og brug af både store og små bogstaver i en virksomheds domænenavn.
Undgå zoneoverførsler
DNS-zonefiler er sårbare filer, der indeholder data, som ofte er et mål for hackere. Hackerne kan udgive sig for at være en master DNS-server, der anmoder om en zoneoverførsel, hvilket er en proces, der involverer kopiering af zonefiler. For at forhindre at hackere får fat i zonefiler, er det en god idé at undgå zoneoverførsler.
DNSSEC
DNSSEC er en sikkerhedsfunktion, der godkender DNS-data. Hvis din lokale DNS-server understøtter DNSSEC, er domænerne beskyttet mod at blive omdirigeret til en phishing-hjemmeside, hvis formål er at stjæle fortrolige oplysninger såsom adgangskoder og betalingskortoplysninger.
Selvom denne metode ikke beskytter mod alle former for angreb på domænet, blokerer den for ”man-in-the-middle”-angreb ved at tilføje et ekstra sikkerhedslag til serveren.
Registreringslås
En registreringslås er et godkendelsessystem, der låser og beskytter et domænenavns oplysninger. Systemet nedsætter risikoen for kapring af domæner, hvad enten det er teknisk eller administrativt.
Systemet beskytter domæneindehaveren mod uønskede og uautoriserede ændringer af domænenavnet. Når systemet benyttes, tillader det ikke nogen ændringer af domænenavnet, som f.eks. overførsel eller sletning af det.
Når domænenavnet skal låses op igen, sker det manuelt gennem en proces, der kræver flerfaktor godkendelse.
DNS over HTTPS (DoH)
DoH øger DNS-sikkerheden ved at minimere risikoen for, at brugernes online aktivitet bliver udspioneret. Ved at kryptere det indhold, der sendes mellem serveren og en brugers computer, gør DoH det svært for hackere at udføre "man-in-the-middle"-angreb, hvor de sporer brugeres online aktivitet og omdirigerer den til et websted, der indeholder malware eller phishing-software.
DoH beskytter DNS-kommunikationen ved at indføre en HTTPS-protokol, som sender krypterede forespørgsler, i modsætning til ukrypterede og transparente oplysninger sendt af en DNS.
DNS over TLS (DoT)
DoT er ligeledes en metode, der krypterer kommunikationen mellem en computer og en server. DoT benytter algoritmer, der omdanner en almindelig læsbar tekst til kodet tekst, som er umuligt for en tredjepart at læse.
Forebyggelse som slutbruger
Slutbrugere kan beskytte sig selv mod DNS-kapring ved at ændre adgangskoder til deres routere, installere antivirusprogrammer på alle enheder og bruge en VPN-tjeneste. Hvis internetudbydere kaprer en slutbrugers DNS, findes der gratis, alternative DNS-tjenester såsom Google Public DNS, Google DNS over HTTPS og Cisco OpenDNS.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer