Super-GAU

Lücke im Domain Name System gestopft

Ein Designfehler im DNS-Protokoll hat es potentiellen Hackern jahrelang erlaubt, Besucherströme (Traffic) umzuleiten. Lediglich einer von der Öffentlichkeit unbemerkten, monatelangen Zusammenarbeit von weltweiten Netzwerkexperten ist es zu verdanken, dass Schäden vermieden werden konnten.

Es wäre der Super-GAU für das Domain Name System (DNS) gewesen: aufgrund einer Schwachstelle war es lange Zeit möglich, beliebige Daten in den Cache von DNS-Resolvern zu implantieren (so genanntes cache poisoning); Nameservern konnten so verfälschte Informationen untergeschoben werden. Nach Einschätzung des CERT (Computer Emergency Response Team) der Universität Stuttgart ist DNS cache poisoning ein „Dorado für Phisher“, die so leicht zum Beispiel Anfragen an Bank-Server auf die eigenen Server umleiten können, um Zugangs- und Transaktionsdaten abzufangen. Auch können zahlreiche andere Angriffstechniken dadurch unterstützt werden. Das Gefahrenpotential wurde dementsprechend als hoch bis sehr hoch eingestuft, auch wenn es zu tatsächlichen Manipulationen in bedeutendem Umfang wohl nicht gekommen ist.

Entdeckt wurde das Problem wohl schon im Januar 2005 vom US-Studenten Ian Green. Aktuell wird der Sicherheitsexperte Dan Kaminsky als Entdecker genannt; vor sechs Monaten war er durch Zufall auf die Lücke gestossen. Besonders erschreckend: das Problem war plattformübergreifend festzustellen, egal ob etwa Windows, Cisco IOS oder BIND 9. Es begann ein Wettlauf mit der Zeit: Netzwerkexperten aus aller Welt, darunter der US-Amerikaner Paul Vixie und Florian Weimer, vormals Mitarbeiter des CERT der Uni Stuttgart, sowie Vertreter von Microsoft, Cisco, Nominum, Neustar und OpenDNS trafen sich, um gemeinsam nach einer Lösung zu suchen. Allein die Kollaboration all dieser Experten belegt das fundamentale Risiko, dem das DNS so lange ausgesetzt war. In einer konzertierten Aktion gelang es zu guter Letzt, am vergangenen Dienstag einen Patch zu veröffentlichen und Administratoren anzuweisen, diesen binnen 30 Tagen zu installieren; bis dahin hält sich Kaminsky mit weiteren Details der Schwachstelle bedeckt.

Die deutsche Domain-Verwaltung DENIC eG hat die aktuellen Meldungen zum Anlass genommen, auch ihrerseits vor dem DNS-Problem zu warnen. Die DENIC empfiehlt allen Betreibern von rekursiven Nameservern, im Interesse der Nutzer und der Sicherheit und Stabilität des DNS im Ganzen, sich mit ihrem Softwarelieferanten in Verbindung zu setzen und die von ihnen eingesetzten Programme schnellstmöglich auf den neuesten Stand zu bringen. Darüber hinaus hat die DENIC Informationen zum allgemeinen technischen Hintergrund des Angriffsszenarios auf ihrer Website veröffentlicht.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Top