2019-05-29

DNS – en bortglömd säkerhetsrisk

Foto: Caiaimage

Ett intrång börjar ofta genom att svagheterna i domännamnssystemet (DNS) utnyttjas. Så hur kan det gå till: En stressad eftermiddag framför jobbdatorn får en medarbetare ett nytt mejl, från en sedan tidigare känd avsändare. I mejlet finns en länk till en välkänd webbplats, men problemet är att länken går till en helt annan webbplats, med ett namn som liknar men inte är exakt det samma som den mer kända webbplatsen, skriver Jan Lundberg, teknisk chef, Palo Alto Networks Sverige.

Webbplatsen innehåller en skadlig programvara som automatiskt laddas ner på medarbetarens dator. Detta är början på ett intrång i datorn och nätverket. Resultatet kan bli att viktiga data stjäls från arbetsgivaren eller att ransomware stänger ner verksamheten.

Hur DNS används för att starta intrång
Domännamnssystemet är det system som ser till att internettrafik kommer till rätt webbplats. DNS fungerar genom att förvandla den signal som skickas från en dator till en webbadress, dit trafiken förs. Dessvärre är det möjligt att utnyttja DNS för intrång, med hjälp av en rad olika metoder:

1. Den metod som beskrevs här ovanför är en av de vanligaste, och använder alltså ett phishingmejl med en länk till en felstavad version av en känd webbadress.

2. Det är också möjligt att skapa webbplatser där namnet på en känd webbplats ingår i namnet, men bara delvis, till exempel så här: exempel.com/paloaltonetworks eller paloaltonetworks.exempel.com.

3. Ytterligare ett alternativ är att använda en toppdomän som påminner om den korrekta men inte är exakt likadan, som till exempel .co istället för .com.

4. DNS-intrång sker inte heller bara genom phishingmejl utan hackare skapar även webbplatser som har namn som liknar en legitim sajt och där bluffen bygger på att människor ibland stavar fel när de skriver in en adress i sin webbläsare. Istället för Google skriver många exempelvis av misstag Goolge – så många att Google köpt just den domänen.

5. Det är även möjligt för hackare att se till att webbtrafik går till en annan adress än den avsedda, genom att de lurar de som hanterar DNS-registreringen. Då kan användaren tro att de kommer till en välkänd webbplats men istället hamnar de på en webbplats där det finns skadlig programvara.

Hur man skyddar sig mot DNS-relaterade hot
Som tur är finns det flera metoder för att skydda sig mot DNS-relaterade hot. Det kanske viktigaste är att se till att medarbetare utbildas i hur de känner igen en farlig webbplats. Att hålla musen över en länk gör att webbadressen visas, och gör det möjligt att bedöma om den går till en legitim webbplats. En del företag utsätter även medarbetare för simulerade phishingattacker i utbildningssyfte.

Detta kan sammanlagt innebära att färre klickar på farliga länkar. Men det är inte tillräckligt för att helt stoppa klicken. Därför finns det också flera tekniker, som en bra och modern säkerhetslösning bör använda:

1. En säker, krypterad uppkoppling. Vanligtvis är DNS-frågor inte krypterade, vilket gör det lättare att utnyttja dem för att luras. En metod som kallas Transport Layer Security (TLS) kan minska risken för detta.

2. Svartlistning av sedan tidigare kända farliga domäner. Detta kan stoppa många phishingattacker.

3. Säkerhetslösningen bör även sätta meddelanden i karantän om de innehåller särskilda ord. Detta stoppar också många phishingattacker.

4. Klientsäkerhetslösningar är till stor hjälp, eftersom det är här många av intrången börjar.

5. Verktyg som baserar sig på maskininlärning kan också analysera nätverkstrafiken och hitta de riskabla webbplatsnamnen. Då stoppas DNS-förfrågan innan den lämnat nätverket och något hunnit inträffa.

Att förebygga är alltid en bättre idé än att försöka städa upp efteråt. När väl ett intrång har skett är det stor risk att varumärket får ta en smäll. EU:s GDPR-direktiv gör att företag måste rapportera intrång som inträffat och där personliga data kan ha stulits. Det här kan utsätta företag för allt från dålig publicitet till böter.

Ett intrång kan i värsta fall leda till ett avbrott i verksamheten, vilket är något som kan kosta miljoner. De här riskerna gör att DNS-hoten är ett säkerhetshot som måste tas på allvar. Det behöver uppmärksammas mer, inte minst eftersom det finns åtgärder som gör att det går att minska riskerna.

Jan Lundberg
teknisk chef, Palo Alto Networks Sverige



Leverantörer
Ändra marknad
Till toppen av sidan