"Giftalarm" für Österreichs Internet

24.07.2008

Zwei Drittel aller österreichischen DNS-Server sind momentan wehrlos gegen Angriffe auf eine fundamentale Sicherheitslücke im DNS-System. Die Sicherheitsexperten von CERT.at rufen alle Administratoren dringend dazu auf, ihre Rechner schleunigst abzusichern, da bereits automatisierte "Vergiftungsattacken" möglich sind.

Als der bekannte Sicherheitsexperte Dan Kaminsky im Frühjahr ankündigte, er habe eher zufällig einen fundamentalen Designfehler im DNS-System [Domain Name System] gefunden, werde diesen aber nicht veröffentlichen, setzte hinter den Kulissen hektisches Treiben in der Branche ein.

Die Sicherheitslücke [Cache Poisoning, also "Vergiftung des Zwischenspeichers"] betrifft nämlich nicht ein Produkt, sondern sämtliche Software - von Cisco bis Microsoft - die mit der "Übersetzung" von IP-Adressen in Domain-Namen zu tun hat.

Fataler Fehler im System

Es handelt sich um einen fatalen Fehler im System, der aus der Kombination von zwei Angriffsmöglichkeiten entsteht.

Anfang Juli war der deutsche Sicherheits-Guru Halvar Flake dem gut gehüteten Geheimnis schon ziemlich nahegekommen und vor zwei Tagen ließen die japanischen Experten von Matasano die Katze dann aus dem Sack.

Was passiert

Verkürzt gesagt, läßt sich ein DNS-Server durch "Vergiftung des Cache" dazu bringen, dass er Domains wie z.B. Austria.gv.at in eine ganz andere IP-Adresse "übersetzt", als jene, die der Domain zugewiesen ist.

Der Benutzer bleibt dabei völlig ahnungslos, da sein Webbrowser weiterhin den URL "austria.gv.at" anzeigt, während er tatsächlich auf einer kopierten Website unterwegs ist, die keineswegs der österreichischen Bundesregierung, sondern zum Beispiel "boesehacker.com" gehört.

Administratoren aufgepasst

An der Mehrzahl der österrechischen Administratoren dürften dieses alarmierenden Nachrichten spurlos vorbeigegangen sein, das haben die Sicherheitsexperten von CERT.at am Donnerstag Morgen aufgedeckt.

"Wir haben die gesamte Situation in Österreich untersucht und kommen zu dem Schluss, dass circa zwei Drittel der DNS-Server anfällig für diese Attacke sind", schrieb Aaron Kaplan von CERT.at an ORF.at.

Man lasse sich ganz offensichtlich zuviel Zeit, das sei gerade jetzt gefährlich und werde von Stunde zu Stunde gefährlicher.

DNS-Server überprüfen

Überprüfen Sie, ob der DNS Server, den Sie verwenden angreifbar ist.

Unter Linux funktioniert das mit diesem Befehl: dig +short porttest.dns-oarc.net TXT

Falls Ihr DNS Server verwundbar ist, aktualisieren Sie ihn jetzt.

Automatisierte Attacken

Die Angriffsmethode sei nämlich unmittelbar nach ihrem Bekanntwerden in das so genannte "Metasploit Framework" übernommen worden, so Kaplan weiter.

Das heißt, "die Attacke kann jetzt automatisiert werden und anfällige DNS-Server sind innerhalb von Minuten vergiftet".

Worst Case

Was das bedeutet, ist unschwer auszumalen. Die mildeste Schadensform ist noch, dass wichtige Websites stundenlang vom Netz verschwinden, weil die DNS-Server schlichtweg anderswo hin verweisen.

Im schlimmsten Fall wurden bereits wichtige Webpräsenzen - etwa von Banken - bereits übernommen und irgendwohin umgeleitet, wo ein Angreifer mitschreibt, welche Benutzernamen und Passwörter eingegeben werden.

"Absichern. Heute. Jetzt sofort. Ja, auch wenn es spät wird" schreibt Kaminsky.

(Futurezone | Erich Moechel)