170876

Verschiedene Angriffsszenarien möglich

07.08.2008 | 14:51 Uhr |

DNS-Bug-Entdecker Dan Kaminsky warnt vor verschiedenen denkbaren Angriffsszenarien. Auch SSL-Verbindungen sind von der Sicherheitslücke bedroht.

In den letzten Monaten war Kaminsky unterwegs, um Software-Anbietern und Internet-Firmen dabei zu helfen, das Problem der weitverbreiteten DNS-Lücke zu lösen. Das Domain Name System wird im Datenverkehr dazu genutzt, die Internetadressen in Zahlencodes zu übersetzen. Kaminsky wies erstmals am 8. Juli auf das Sicherheitsproblem hin und warnte Unternehmen und Internetdienstleister, die Lücke so schnell wie möglich mit einem Software-Update zu schließen.

Am Mittwoch gab er auf der Black-Hat-Sicherheitskonferenz weitere Details bekannt, darunter die erschreckende Vielfalt an Angriffsformen, mit der die DNS-Lücke ausgenutzt werden kann. Außerdem berichtete er von seiner Arbeit an einem Bugfix für verschiedene Internetdienste.

Kaminsky hatte in der Arbeitsweise des DNS-Protokolls eine Reihe von Fehlern entdeckt, die es ihm ermöglichten, DNS-Servern falsche Informationen vorzugaukeln. Online-Betrüger könnten diese Technik nutzen, um Opfer auf gefälschte Webseiten weiterzuleiten. Da sei aber noch nicht alles, wie Kaminsky in seinem Vortrag erklärte. Auch Mails, Software-Updates oder Passwort-Recovery-Systeme großer Websites seien gefährdet.

SSL-Verbindungen (Secure Socket Layer) hatten viele bisher für immun gegen die DNS-Attacken gehalten. Kaminsky zeigte jedoch, wie die SSL-Zertifikate, die zur Validierung von Webseiten eingesetzt werden durch einen DNS-Angriff umgangen werden können. Denn auch die Herausgeber der SSL-Zertifikate benutzen Mails und das Internet und könnten so zum Opfer von DNS-Attacken werden. "Man kann sich gut verstellen, dass das im Fall einer DNS-Attacke nicht besonders sicher ist. SSL ist leider nicht das Wundermittel, das wir gerne hätten."

Ein großes Problem sei die "Passwort vergessen?"-Funktion, mit denen Anwender großer Websites ein neues Passwort beantragen können. Hacker könnten dies im Namen des Opfers tun und dann mit einer DNS-Attacke in den Besitz des neuen Passworts kommen.

Kaminsky berichtete außerdem, wie er neben DNS-Anbietern auch mit Unternehmen wie Google, Facebook, Yahoo und eBay an einer Lösung für das DNS-Problem gearbeitet habe.

Obwohl einige Besucher des Vortrags am Mittwoch erklärten, Kaminskys Präsentation sei zu sehr hochgejubelt worden, sagte David Ulevitch, Geschäftsführer von OpenDNS , der Sicherheitsexperte habe der Internet-Gemeinde einen großen Dienst erwiesen. "Selbst jetzt können wir das ganze Ausmaß der Bedrohung noch nicht ermessen. Sie betrifft jeden einzelnen, der das Internet nutzt."

Ganz reibungslos war Kaminskys Arbeit allerdings nicht verlaufen. Zwei Wochen nachdem er erstmals auf das Problem aufmerksam gemacht hatte, waren durch die Sicherheitsfirma Matasano Security versehentlich technische Details ins Internet gelangt. Außerdem gab es nach dem ersten Patch Probleme mit einigen DNS-Servern und Firewalls.

In einem Interview nach seinem Black-Hat-Vortrag sagte Kaminsky, dass er trotz der Probleme den Aufwand wieder betreiben würde. "Zahllose Menschen surfen jetzt sicherer im Internet. Es lief vielleicht nicht alles glatt, aber besser, als ich jemals erwartet hätte."

0 Kommentare zu diesem Artikel
170876