31706

10 Prozent der DNS-Server möglicherweise verwundbar

04.08.2005 | 16:44 Uhr |

Die mögliche Manipulation von DNS-Servern ist eine der Archillesfersen des Internets.

Mehrere hunderttausend Name-Server im Internet sind womöglich anfällig für eine Vergiftung ihrer zwischengespeicherten Informationen über die Zuordnung von Server-Namen und IP-Adressen. Dan Kaminsky untersuchte mittels Scans über das Internet 2,5 Million DNS-Server und fand heraus, dass knapp 10 Prozent davon möglicherweise durch einen gezielten Angriff kompromittierbar sind. Diese Erkenntnisse veröffentlichte Kaminsky in einem Vortrag auf der Hacker-Konferenz "Black Hat 2005".

Der Domain Name Service (DNS) ist einer der wichtigsten Dienste im Internet. Es stellt praktisch eine Art Telefonbuch des Internets dar. Jegliche im Internet eingesetzte Software wie Web-Browser, Mail-Programme oder Instant Messenger muss darauf zurück greifen. Soll ein Server im Internet mit seinem Namen (etwa www.pcwelt.de) angesprochen werden, fragt die Anwendung den nächstgelegenen DNS-Server nach der zugehörigen IP-Adresse. Nur darüber kann der Server direkt erreicht werden. Kennt ein DNS-Server die gesuchte Adresse nicht, fragt er bei einem anderen Server danach.

Die DNS-Server halten solche Zuordnungen, die sie kürzlich schon von einem übergeordneten DNS-Server erfragt haben, in einem Zwischenspeicher (Cache), fragen also nicht jedesmal wieder nach. Bei schlecht gewarteten DNS-Servern kann ein Angreifer diesen Cache gezielt manipulieren. Er trägt andere IP-Adressen ein, sodass etwa der Aufruf einer Website zu einem anderen Server umgeleitet wird. Diese Angriffsart wird als "DNS Cache Poisoning" bezeichnet. Das ist vergleichbar mit dem Verdrehen eines Wegweisers an einer Weggabelung.

Die Folge für den nichts ahnenden Web-Nutzer ist, dass er nicht auf der Website seiner Bank oder seines Web-Mail-Providers landet, sondern auf dem Server eines Betrügers. Gezielte Manipulationen für betrügerische Ziele wie Identitätsdiebstahl (zum Beispiel Phishing) werden auch als "Pharming" bezeichnet, wenn die Täter ganze Server-Farmen für diese Zwecke unterhalten.

Die potenziell angreifbaren DNS-Server, die Kaminsky gefunden hat, werden mit veralteten Versionen der Software "Berkeley Internet Name Domain" (BIND) betrieben und sind zudem mangelhaft konfiguriert. Es ist schon länger bekannt, dass BIND bis Version 8 in bestimmten Konfigurationen anfällig für Cache-Poisoning ist. Version 9 behebt dieses Problem.

Dan Kaminsky gibt an, dass es weltweit ungefähr neun Millionen DNS-Server gibt. 2,5 Millionen davon hat er gescannt. Dabei fand er 13.000, die ohne Zweifel für Cache-Poisoning anfällig sind, 60.000 mit hoher Wahrscheinlichkeit angreifbare und 230.000 möglicherweise anfällige Systeme. Er will nun die Betreiber der anfälligen DNS-Server anschreiben und auf das Problem aufmerksam machen.

0 Kommentare zu diesem Artikel
31706