47972

Details zu kritischer Internet-Lücke versehentlich publik geworden

22.07.2008 | 10:36 Uhr |

Ein Sicherheitsunternehmen hat versehentlich Details über eine schwerwiegende Sicherheitslücke in dem beim Internet zum Einsatz kommenden Domain Name System (DNS) veröffentlicht. Eigentlich wollte der Entdecker der Lücke die Details dazu erst Anfang August publik machen, um Anwendern genügend Zeit zu geben, die Lücke in ihren Systemen zu stopfen.

Die Lücke im DNS hatte der Sicherheitsexperte Dan Kaminsky vor einigen Monaten entdeckt. Kaminsky hatte seitdem mit Microsoft, Cisco und dem Internet Systems Consortium an einem Patch für die Lücke gearbeitet. Vor zwei Wochen war schließlich ein Patch erschienen und Unternehmensanwender und Internet Service Provider waren dazu aufgefordert worden, ihre DNS-Systeme zu patchen, um die Lücke zu schließen.

Heimanwender sind, so jedenfalls Kaminsky, nur in einigen Fällen betroffen, insgesamt soll für diese Zielgruppe aber keine große Gefahr von der Lücke ausgehen. Kaminsky hatte andere Sicherheitsexperten dennoch darum gebeten, nicht öffentlich über die Lücke im DNS zu spekulieren, damit genügend Zeit bleibt, die Systeme zu patchen, bevor zu viele Details über die Lücke bekannt werden. Auf der Black Hat Sicherheits-Konferenz wollte Kaminsky selbst am 6. August genauere Details zu der Lücke der Öffentlichkeit bekannt geben.

Auf die Aufforderung von Kaminsky, über die Sicherheitslücke nicht öffentlich zu spekulieren, reagierten einige Sicherheitsexperten wenig begeistert und beklagten sich darüber, dass Kaminsky die genaueren technischen Details über seinen Fund für sich behielt. Das spornte einige Insider dazu an, sich doch Gedanken darüber zu machen, was es mit der Lücke auf sich hat.

Am Montag veröffentlichte schließlich der Chef von Zynamics.com, Thomas Dullien, in seinem Blog seine Vermutung darüber , worum es sich bei der Lücke genau handeln könnte. Und er traf damit genau ins Schwarze. Die Sicherheitsexperten von Matasano Security, die als eine von wenigen, von Kaminsky in die Details über die Lücke eingeweiht worden waren, bestätigten in einem Blog-Eintrag, dass Thomas Dullien, der den Hacker-Namen Halvar Flake nutzt, richtig spekuliert hatte. "Die Katze ist aus dem Sack. Ja - Halvar Flake hat die Lücke herausgefunden, die Dan Kaminsky auf der Black Hat vorstellen will", hieß es in einem Blog-Eintrag von Matasano Security, der allerdings fünf Minuten nach seiner Veröffentlichung wieder gelöscht wurde. Die fünf Minuten reichten aber dafür aus, dass die Nachricht im Internet die Runde machte.

Matasano Security hatte damit unbeabsichtigt eingeräumt, dass Dullien die Lücke korrekt beschrieben hat und damit auch dafür gesorgt, dass nunmehr noch mehr Details über die Lücke bekannt geworden sind. Thomas Ptacek von Matasano Security, entschuldigte sich im Unternehmens-Blog später bei Dan Kaminsky für das Malheur.

Die nunmehr bekannt gewordenen Details über die Lücke: Der Bug hängt damit zusammen, wie DNS-Clients und -Server Informationen von anderen DNS-Servern über das Internet beziehen. Wenn die DNS-Software nicht die numerische IP-Adresse eines Computers kennt, fragt sie bei einem anderen DNS-Server nach. Angreifer können durch einen Trick erreichen, dass die DNS-Software glaubt, dass ein legitimer Domain-Name mit einer schädlichen IP-Adresse übereinstimmt. Damit könnte ein Angreifer eine Attacke gegen einen Domain Name Server eines Providers starten und den Verkehr auf bösartige IP-Adressen umleiten. Der Anwender würde also beispielsweise www.pcwelt.de eingeben und in Wirklichkeit auf eine gefährliche Website umgeleitet werden.

Dan Kaminsky hat sich öffentlich nicht dazu geäußert, ob Thomas Dullien (alias Halvar Flake) tatsächlich die Details zu der Lücke entdeckt hat. In einem Eintrag in seinem Blog schreibt er lediglich: "13>0". Damit dürfte gemeint sein, dass Administratoren immerhin 13 Tage Zeit hatten ihre Systeme zu patchen, ehe die Details zu der DNS-Lücke bekannt geworden sind.

Übrigens: Kaminsky hat in seinem Blog mit dem "DNS Checker" auch ein Online-Tool entwickelt, mit dem überprüft werden kann, ob der verwendete DNS-Server bereits gepatcht worden ist oder noch angreifbar ist. Dazu klicken Sie einfach auf den Button "Check My DNS".

0 Kommentare zu diesem Artikel
47972