Rod Beckstrom, CEO der Internet-Verwaltung ICANN, hat vor übertriebenen Erwartungen an das Sicherheitsprotokoll DNS Security Extensions (DNSSEC) gewarnt. Hacker bemühen sich bereits, das Protokoll zu knacken.
Vergangene Woche hatte das US-Wirtschaftsministerium bekanntgegeben, alle 13 Rootserver auf das Sicherheitsprotokoll DNS Security Extensions (DNSSEC) umzustellen. Eine digitale Signatur, die mit jeder Nameserver-Abfrage mitgeliefert wird, soll nun sicherstellen, dass alle Anfragen zum gesuchten Angebot führen. Doch Wunderdinge sollte man von DNSSEC besser nicht erwarten. „Die Root Zone ist signiert. Bedeutet das, dass das Internet sicher ist?“ fragte Beckstrom provokant bei der IT-Sicherheitskonferenz Black Hat USA 2010, die gerade in Las Vegas zu Ende ging. „Nein, es bedeutet nur, dass das Internet jetzt sicher werden kann“, beantwortete Beckstrom die Frage selbst. Zugleich forderte er die Registries und Internet Service Provider auf, für breitere DNSSEC-Unterstützung zu sorgen. So will zum Beispiel die .com-Verwaltung VeriSign im März 2011 ebenfalls signieren; die .org-Registry PIR hat sie bereits umgesetzt. VeriSign-CTO Ken Silva mahnte schließlich weitere Forschung an, da DNSSEC nicht alle Probleme löse.
Zu solchen Forschungen muss man Hacker nicht zwei Mal bitten. Dan Kaminsky, Hacker und Chef-Wissenschaftler des New Yorker IT-Sicherheitsunternehmen Recursion Ventures, rief das Black Hat Publikum dazu auf, DNSSEC zu knacken. Das böse Wort des „Hackens“ ist dabei positiv zu verstehen; die IT-Experten sollen helfen, durch Angriffe auf das System mögliche Schwachstellen zu entdecken. „Ich hoffe, dass wir die Probleme schnell finden.“, so Kaminsky. Er selbst geht mit gutem Beispiel voran und gab einen ersten Ausblick auf ein DNSSEC-Tool im Beta-Stadium namens Phreebird, das in seiner Endfassung den Einsatz der Technik erleichtern soll.
Kaminsky gilt als ausgewiesener DNS-Experte. Anfang des Jahres 2008 hatte er einen Designfehler im DNS-Protokoll entdeckt, der es potentiellen Hackern erlaubt hätte, beliebige Daten in den Cache von DNS-Resolvern zu implantieren (sogenanntes cache poisoning); Nameservern konnten so verfälschte Informationen untergeschoben werden. Gerade für Phisher hätten sich Möglichkeiten eröffnet, Anfragen an Bank-Server auf die eigenen Server umzuleiten, um Zugangs- und Transaktionsdaten abzufangen. In einer konzertierten Aktion mit Vertretern von Microsoft, Cisco, Nominum, Neustar und OpenDNS gelang es Mitte 2008, einen Patch zu veröffentlichen und Administratoren anzuweisen, diesen binnen 30 Tagen zu installieren und größeres Unheil zu vermeiden.