Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.08.2008

Die letzten Details zum DNS-Bug

Dan Kaminsky gab auf der US-Sicherheitskonferenz Black Hat alle Tücken eines der bislang schwersten Internet-Fehler bekannt.

Rund um die Uhr hatte Dan Kaminsky vom Security-Spezialisten IOActive in den letzten Monaten mit Software- und Internet-Firmen daran gearbeitet, die von ihm entdeckte Designschwäche im Internet-Adressdienst Domain Name System (DNS) zu beheben. Öffentlich machte der Sicherheitsfachmann das Leck dann am 8. Juli und appellierte dabei an Unternehmen und Internet-Dienstleister, ihre Software schnellstmöglich zu patchen. 70 Prozent der Fortune-500-Firmen haben dies inzwischen erledigt, weitere 15 Prozent haben es versucht - sind aber aus technischen Gründen gescheitert.

Nicht nur Phishing

Die letzten Details des Problems machte Kaminsky nun auf der Black Hat in Las Vegas publik, wo er eine Reihe denkbarer Angriffe aufzeigte, die die Schwachstelle ausnutzen.

Der Sicherheitsforscher hatte einen Weg gefunden, DNS-Server über verschiedene konzeptionelle Schwächen im DNS-Protokoll sehr schnell mit falschen Informationen zu füllen (DNS-Cache-Poisoning). Cyber-Kriminelle könnten dies ausnutzen, um ihre Opfer im großen Stil auf gefälschte Websites zu leiten. Der Fehler lässt sich aber ebenso gut missbrauchen, um E-Mails, Software-Update- oder sogar Passwort-Recovery-Systeme zu kompromittieren, warnte der Experte. Auch SSL-verschlüsselte Verbindungen seien keineswegs das erhoffte Allheilmittel gegen die DNS-Lücke - und zwar schlicht deswegen nicht, weil die Aussteller von SSL-Zertifikaten für Web-Seiten ihrerseits Internet-Services wie E-Mail und das Web nutzten, um die Zertifikate zu validieren.

Selbst wenn mancher Besucher den Vortrag von Kaminsky als überbewertet erachtete - zumindest aus Sicht von David Ulevitch, CEO von OpenDNS, hat der Experte der Internet-Community einen unschätzbaren Dienst erwiesen. "Das wirkliche Ausmaß dieses Angriffs muss erst noch erkannt werden", meint Ulevitch. "Das betrifft jeden einzelnen Menschen im Netz."

Ganz reibungslos war die Sache nicht über die Bühne gegangen: Zwei Wochen, nachdem Kaminsky den DNS-Fehler erstmals diskutiert hatte, wurden dessen technische Details von der Sicherheitsfirma Matasano versehentlich ins Internet gepostet und kurz darauf entsprechender Exploit-Code veröffentlicht. Hinzu kam, dass verschiedene stark frequentierte DNS-Server nicht mehr richtig funktionierten, nachdem der ursprüngliche Patch eingespielt worden war. Darüber hinaus haben eine Reihe von Firewall-Produkten, die IP-Adressen übersetzen, versehentlich einige der DNS-Änderungen wieder rückgängig gemacht, die das Problem beseitigen. (tc/kf)