Lücke im Domain Name System gestopft
Ein Designfehler im DNS-Protokoll hat es potentiellen Hackern
jahrelang erlaubt, Besucherströme (Traffic) umzuleiten. Ledig-
lich einer von der Öffentlichkeit unbemerkten, monatelangen
Zusammenarbeit von weltweiten Netzwerkexperten ist es zu ver-
danken, dass Schäden vermieden werden konnten.
Es wäre der Super-GAU für das Domain Name System (DNS) gewesen:
aufgrund einer Schwachstelle war es lange Zeit möglich, belie-
bige Daten in den Cache von DNS-Resolvern zu implantieren (so
genanntes cache poisoning); Nameservern konnten so verfälsch-
te Informationen untergeschoben werden. Nach Einschätzung des
CERT (Computer Emergency Response Team) der Universität Stutt-
gart ist DNS cache poisoning ein “Dorado für Phisher”, die so
leicht zum Beispiel Anfragen an Bank-Server auf die eigenen
Server umleiten können, um Zugangs- und Transaktionsdaten ab-
zufangen. Auch können zahlreiche andere Angriffstechniken da-
durch unterstützt werden. Das Gefahrenpotential wurde dement-
sprechend als hoch bis sehr hoch eingestuft, auch wenn es zu
tatsächlichen Manipulationen in bedeutendem Umfang wohl nicht
gekommen ist.
Entdeckt wurde das Problem wohl schon im Januar 2005 vom US-
Studenten Ian Green. Aktuell wird der Sicherheitsexperte Dan
Kaminsky als Entdecker genannt; vor sechs Monaten war er durch
Zufall auf die Lücke gestossen. Besonders erschreckend: das
Problem war plattformübergreifend festzustellen, egal ob etwa
Windows, Cisco IOS oder BIND 9. Es begann ein Wettlauf mit der
Zeit: Netzwerkexperten aus aller Welt, darunter der US-Ameri-
kaner Paul Vixie und Florian Weimer, vormals Mitarbeiter des
CERT der Uni Stuttgart, sowie Vertreter von Microsoft, Cisco,
Nominum, Neustar und OpenDNS trafen sich, um gemeinsam nach
einer Lösung zu suchen. Allein die Kollaboration all dieser
Experten belegt das fundamentale Risiko, dem das DNS so lange
ausgesetzt war. In einer konzertierten Aktion gelang es zu gu-
ter Letzt, am vergangenen Dienstag einen Patch zu veröffent-
lichen und Administratoren anzuweisen, diesen binnen 30 Tagen
zu installieren; bis dahin hält sich Kaminsky mit weiteren
Details der Schwachstelle bedeckt.
Die deutsche Domain-Verwaltung DENIC eG hat die aktuellen Mel-
dungen zum Anlass genommen, auch ihrerseits vor dem DNS-Prob-
lem zu warnen. Die DENIC empfiehlt allen Betreibern von rekur-
siven Nameservern, im Interesse der Nutzer und der Sicherheit
und Stabilität des DNS im Ganzen, sich mit ihrem Softwarelie-
feranten in Verbindung zu setzen und die von ihnen eingesetz-
ten Programme schnellstmöglich auf den neuesten Stand zu brin-
gen. Darüber hinaus hat die DENIC Informationen zum allgemei-
nen technischen Hintergrund des Angriffsszenarios auf ihrer
Website veröffentlicht.
Weitere Informationen von Dan Kaminsky finden Sie unter:
> http://short4u.de/487b91ace40f1
Weitere Informationen der DENIC eG finden Sie unter:
> http://www.denic.de/de/domains/technik/resolver.html
Quelle: uni-stuttgart.de, ecommercetimes.com, bbc.co.uk, NEWSLETTER domain-recht.de