Domännamnsattackerna, dns-attacker, drabbar företagen på många olika sätt. Ofta utgår attackerna från en server, som utnyttjas. Det första förövaren kan göra är att omdirigera trafik till en valfri server.

Därmed kan de utföra ytterligare attacker, samla trafikloggar eller hämta hem känslig information.

Det andra förövaren kan göra är att dirigera om inkommande e-post, för att exempelvis skicka egna e-postmeddelanden med den kidnappade servern som avsändare. Slutligen kan de välja en tredje metod som gör det möjligt att göra bådadera.

– Det första scenariot kan användas för att attackera besökare och för att komma över loginuppgifter och kontoinformation, säger HD Moore, som är forskningschef på företaget Rapid 7.

Den vanligaste lösningen är att använda så kallade ssl-certifikat, som kan användas för att ta kontroll över domänen. Det kan ske genom att ett nytt certifikat registreras i det attackerade företagets namn. Därmed kan förövaren stjäla företagets identitet på nätet, utan att behöva tillgång till servarna.

Enligt Cory von Wallenstein, som är teknikchef på Dyn, som är specialiserat på trafikhantering, så kan dns-attackerna resultera i att förövaren installerar skadlig kod på de dns-servrar som finns hos exempelvis operatörerna.

– Men det finns effektiva sätt att göra den här attacken opraktisk att genomföra och bra standarder som Dnssec som erbjuder skydd mot attacken, säger han.

Det går också att begränsa tillgången till de namnservrar som behöver skyddas, genom så kallad rekursion, som styr hur servern lagrar och hanterar information.

– Risken för sådana attacker kan hanteras genom att begränsa företagets exponering. Det löser inte hela grundproblemet, men hjälper ganska bra, säger Chris Brenton, som är säkerhetschef på Dyn.

Vid den andra attacken tas dns-servrarna över. Vid den den här typen av attacker kan effekten bli global. En sådan attack drabbade Twitter från den iranska cyberarmén.

Förövarna lyckades först komma över ett e-postkonto som ägdes av en anställd på Twitter. därefter fick man tillgång till kontouppgifter som gjorde det möjligt att genomföra förändringar i domänamnsystemet.

Gruppen ändrade dns-inställningar och omdirigerade trafik till propaganda i sina egna servrar.

Försvaret mot denna typ av attacker är starka lösenord och ip-baserade listor över vilka som får tillgång till systemet. Utbildning om hur hackare använder sig av sociala metoder är också effektivt.

– Hur mycket tid som än läggs på att säkra en webbserver, så kan en förövare attackera en styrserver och dirigera dns-trafik till en annan ip-adress. Attacken gör det möjligt att omdirigera e-post och andra tjänster som företaget erbjuder.

Den tredje typen av attacker går ut på att förövaren manipulerar själva domännamnsregistreringen och sedan utnyttjar detta för att ändra dns-servrar. Förändringarna ligger ofta cachade i dns-servrarna i många dagar. Därför kan det ta flera dagar att hantera effekterna av attacken. Här gäller det att se till att företagets styrande dns-servrar finns inom organisationens kontroll.

– När det gäller hur dess styrande servrar körs gäller det att använda sig av de råd för bästa praxis som har tagits fram av säkeretsinstitutet Sans och Center for Internet Security, säger Brenton.

Fakta

Dns-servrar fungerar genom att översätta ip-adresser till domännamn. Därför kan man exempelvis gå in på sajten http://computersweden.idg.se istället för att skriva ip-adressen 213.132.126.26.