DNS-Lücke

Details versehentlich durchgesickert

Offenbar aus Versehen sind die ersten Details zu der vor wenigen Tagen vom Sicherheitsexperten Dan Kaminsky entdeckten, kritischen Lücke im Domain Name System (DNS) veröffentlicht worden. Erste Angriffe auf Nameserver werden bereits gemeldet.

Vor zwei Wochen war bekannt geworden, dass ein jahrelang unentdeckter Designfehler im DNS-Protokoll potentiellen Hackern erlaubt hat, beliebige Daten in den Cache von DNS-Resolvern zu implantieren (so genanntes cache poisoning); Nameservern konnten so verfälschte Informationen untergeschoben werden. Vor etwa sechs Monaten war Dan Kaminsky auf das Problem aufmerksam geworden; in einer konzertierten Aktion mit Vertretern von Microsoft, Cisco, Nominum, Neustar und OpenDNS gelang es, einen Patch zu veröffentlichen und Administratoren anzuweisen, diesen binnen 30 Tagen zu installieren. Auch die deutsche Domain-Verwaltung DENIC eG hat sich den Warnungen angeschlossen und empfiehlt Betreibern von rekursiven Nameservern, eingesetzte Programme schnellstmöglich auf den neuesten Stand zu bringen.

Wohl durch Zufall sind nun die ersten Details zum technischen Hintergrund der Lücke publik geworden. So hat Thomas Dullien, CEO von Zynamics.com, in seinem Blog öffentlich nach der Ursache spekuliert. Diese Spekulation wurde vom Sicherheitsunternehmen Matasano Security ebenfalls per Blogeintrag bestätigt, wobei der Blogeintrag binnen Minuten wieder offline genommen wurde, da Matasano weitere Einblicke in die Lücke gab. Thomas Ptacek, ein Mitarbeiter von Matasano, bestätigte in einem Telefoninterview mit pcworld.com allerdings, dass die Information zu früh gepostet worden sei und entschuldigte sich öffentlich dafür; Details will Dan Kaminsky selbst anlässlich der „Black Hat“-Konferenz Anfang August 2008 in Las Vegas bekannt geben. Bis dahin empfiehlt er unverändert, so rasch wie möglich den Patch einzuspielen.

Dass diese Warnung nicht ganz unberechtigt ist, belegen erste Meldungen von Angriffen auf Nameserver. So meldet das für gewöhnlich gut informierte Magazin theregister.co.uk, dass zwei Wochen nach Bekanntwerden der Lücke mit AT&T, Time Warner und Bell Canada einige der grössten Internet Service Provider noch kein Update installiert hätten. Bereits zwei Schadprogramme sollen aufgetaucht sein, die eben diese DNS-Lücke ausnutzen wollen und auf BIND 9 (ein Softwarepaket, mit dem ein Domain-Name-System-Server implementiert werden kann) getest wurden.

Bei Apple sieht man die Diskussion um die kritische DNS-Lücke gelassen und zieht es bis dato vor, keinen Patch zu veröffentlichen. Da das Apple-Betriebssystem OS X die ebenfalls betroffene BIND-Software nutzt, ist dies so recht nicht nachzuvollziehen. Das renommierte Online-Magazin heise.de empfiehlt den Betreibern eines OS-X-Servers, diesen vorerst nicht zu einer Namensauflösung zu verwenden und als Alternative etwa den DNS-Server des Internet-Providers einzusetzen – natürlich vorausgesetzt, dass der den Patch installiert hat.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Top