Nach 30 Tagen der Warnung vor einer massiven Lücke im Domain Name System (DNS) und zahlreichen öffentlichen Spekulationen um die Ursache hat der US-Sicherheitsexperte Dan Kaminsky anlässlich der Black Hat Konferenz in Las Vegas erstmalig die Details zu seiner Entdeckung veröffentlicht.
In seiner 80minütigen, umfangreichen und beeindruckenden Präsentation dürfte Kaminsky vielen Experten einen Schauer über den Rücken gejagt haben. Vereinfacht ausgedrückt, „vergiftet“ der Fehler jene Server, die Domain-Namen in IP-Adressen umwandeln. Die Namensauflösung erfolgt dabei über zahlreiche, weltweit verteilte Datenbanken, über die der Computer eine Suchabfrage nach der eingegebenen Adresse startet und den Nutzer so zum Ziel führt. Gelingt es nun, einen dieser Nameserver zu kapern, können die Nutzer auf beliebige Angebote umgeleitet werden; so surft man beispielsweise vermeintlich und auf den ersten Blick auf der Website der Hausbank, um dort Online-Banking auszuführen; tatsächlich ist man aber auf einer täuschend echt nachgebauten Phishing-Website gelandet und ermöglicht den Phishern so, an Informationen wie PIN und TAN zu gelangen. Doch nicht nur zum Phishing eignet sich dieser Weg, auch eMails und Passwörter sollen so abgefangen oder manipuliert werden können.
Um solche Fehler üblicherweise auszuschließen, erhält jede Anfrage eine zufällige Transaktionsnummer zwischen 1 und 65.536. Flutet man einen Server nun mit leichten Variationen einer Domain, beispielsweise also mit 1.google.com, 2.google.com und 3.google.com, kann ein Angreifer diese Transaktionsnummer aber erraten; seine Chancen steigen von bisher 1 zu 65.536 rapide an. Kritik, dass Kaminsky die Lücke nur dazu genutzt habe, um für sich Werbung zu machen, erwies sich angesichts der aufgezeigten Fakten als kaum mehr zu halten: „Die Aufregung war angesichts der Entdeckung, die das Potential hat, das Internet zum Absturz zu bringen, gerechtfertigt“, meinte etwa ein Vertreter vom Beratungsunternehmen Ernst&Young. Der schon am 8. Juli 2008 von Microsoft, Cisco, Sun Microsystems und dutzenden anderer Internetunternehmen veröffentlichte Patch soll helfen, diese Lücke zu schließen; allerdings haben bei weitem noch nicht alle Server-Betreiber mit einem Update reagiert.
Bei der Internet-Verwaltung ICANN nimmt man die Lücke im DNS ebenfalls sehr ernst. Nur ein gemeinsames Handeln aller Nameserver-Betreiber könne die Lücke schließen. Über zwei spezielle Tools, die auf der Website von ICANN verlinkt sind, kann jedermann testen, ob bei ihm ausreichender Schutz besteht. Umfangreiche FAQs vermitteln weitere Hintergrundinformationen zu einem Systemfehler, über den das Magazin theregister.co.uk mit Erleichterung bemerkt: „boy, are we glad the net’s overlords paid attention.“