Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Internet-Zentralregister DNS: Wie ein Riesenloch im Netz die Sicherheit bedroht

Von

Es ist die größte und gefährlichste Sicherheitslücke, die es je im Internet gegeben hat: Geld überweisen, Aktien kaufen, E-Mails schicken - jede Aktion im Netz ist ein Risiko. Jetzt hat ein Experte erstmals erklärt, wie Kriminelle die Schwachstelle ausnutzen können.

Die 30 Tage sind um. So viel Zeit hatte der US-Hacker und Sicherheitsexperte Dan Kaminsky Internetprovidern und Web-Unternehmen gegeben, um eine Sicherheitslücke im Internet-Zentralregister zu stopfen. Eine Lücke, deren Missbrauchspotential das US-Heimatschutzministerium in diesem knappen Satz zusammenfasst: "Angreifer können Aufrufe von Web-Seiten, E-Mail-Verkehr, wichtige Netzwerk-Datenflüsse auf eigene Systeme umleiten."

Internet-Adresseingabe: Was man eintippt, wird erst über das DNS-System in eine IP-Adresse übersetzt
Getty Images

Internet-Adresseingabe: Was man eintippt, wird erst über das DNS-System in eine IP-Adresse übersetzt

Sprich: Mit geschickten Angriffen könnten Kriminelle unerkannt an fast alles kommen, was im Netz Geld einbringt - Kreditkartennummer, Zugangsdaten für Ebay, Amazon, PayPal, Facebook und so weiter.

Wie diese Lücke genau aussieht, welche konkreten Angriffsmöglichkeiten es gibt - das hat Kaminsky bislang zurückgehalten, um Web-Unternehmen Zeit zu geben, die Schwachstelle auszubessern. Nun hat Kaminsky bei einem Zwei-Stunden-Vortrag auf der Netzsicherheitstagung "Black Hat Conference" in Las Vegas Details enthüllt.

Die gute Nachricht, so Kaminsky in seinem Vortrag: Die meisten großen Web-Unternehmen wie Google, Microsoft, Yahoo und Facebook aber auch viele Internetprovider haben ihre Systeme in den vergangenen 30 Tagen abgedichtet.

Die schlechte Nachricht: Die Sicherheitslücke ist wegen technischer Probleme nicht überall geschlossen, kleinere Unternehmen "stopfen langsamer", so Kaminsky (in seinem Vortrag visualisiert er die Verbreitung der Flicken mit dem Video unten).

Sprich: Völlig sicher kann sich derzeit kein Web-Nutzer fühlen. Nach den nun veröffentlichten Details sind Attacken zu erwarten. Nach den von Kaminsky veröffentlichten Angriffsvarianten ist die Missbrauchsgefahr noch höher als bislang angenommen.

So verletzlich ist die Internet-Infrastruktur

Der technische Hintergrund dieser Angriffe ist nicht ganz einfach zu verstehen, zeigt aber, welche Schäden kleine Fehler an den kritischen Stellen der Netz-Infrastruktur anrichten könnten. Das sogenannte "Domain Name System" (DNS) ist der Internet-Dienst, der Web-Adressen, die Menschen sich merken können (zum Beispiel google.de), in IP-Adressen übersetzt, die Computer ansteuern können (wie 216.239.59.104).

Die Namensauflösung dieses Registers arbeitet mit einer riesigen, weltweit auf vielen Servern gespeicherten, verteilten und gespiegelten Datenbank. Private Web-Nutzer greifen normalerweise auf eine von ihrem Provider festgelegten Vermittlungspunkt dieses Registers, einen sogenannten Nameserver.

Infiltrieren, Aushorchen, Abfischen

Wenn es nun Angreifern gelingt, einen dieser Nameserver zu infiltrierten, könnte er User, die zum Bezahldienst paypal.de wollen, auf eine beliebige andere Seite schicken - die genauso aussieht, aber das eingetippte Kennwort in einer Datenbank speichert, mit der Kriminelle dann Konten leer räumen. Kaminsky legt in der 104-seitigen Präsentation ( Download als Powerpoint-Datei) seines Vortrags dar, wie leicht sich die ursprünglichen Schutzmechanismen des DNS umgehen lassen, um gefälschte Navigationsbefehle unbemerkt und schneller als die echten ausgeben zu lassen.

Diese Methode lässt sich nicht nur zum Abfischen von Passworten für Bezahldienste oder E-Mail-Konten über gefälschte Seiten nutzen.

Kaminsky beschreibt weitere Szenarien:

E-Mails abfangen

Beim Transport von E-Mails schlüsselt Software die ausgeschriebenen Adressen ähnlich auf wie URLs: Aus der für Menschen gut verständlichen Buchstabenfolge muss eine IP-Adresse werden, damit Nachrichten korrekt weitergeschickt werden können.

Kopiert ein Angreifer die E-Mail und leitet sie per DNS-Hack in seine eigene Lauscher-Datenbank, kann er laut Kaminsky: "sehen, wer wem schreibt und die für ihn interessanten Nachrichten herausfiltern" - zwecks weiterer Analyse.

E-Mails manipulieren

Wer mit der Namensauflösung herumspielen kann, wird E-Mails nicht nur abfangen, sondern auch mit kleinen Änderungen weiterleiten können. Das könnte vor allem die Verbreitung von Schad-Software effizienter machen: Ein Drittel der erfolgreich installierten Trojaner, Würmer und Viren holen sich die Geschädigten selbst auf den Rechner - durch den Klick auf einen Link zu einer infizierten Seite oder auf einen E-Mail-Anhang.

Die Erfolgsquote dürfte noch besser werden, wenn Angreifer echte E-Mail abfangen und mit einem Schad-Code anreichern, statt mit Spammer-Tricks arbeiten zu müssen. Kaminsky: "Es ist möglich, Mails mit Anhängen abzufangen, die Dokumente mit Schad-Software zu versehen und die Nachrichten an den Empfänger weiterzuleiten."

SSL-Zertifikate fälschen

Vielen Banken und Webshops nutzen die SSL-Verschlüsselung, um sensible Daten wie Kreditkartennummern, Login-Informationen für Online-Banking und Ähnliches verschlüsselt zwischen dem Browser auf dem Rechner der Nutzer und den Servern des Unternehmens zu übertragen. SSL kennt jeder - allein schon, weil bei solchen Verbindungen in der Adresszeile des Browsers ein https statt das http erscheinen.

Inzwischen nutzen Anbieter solche SSL-Zertifikate auch, damit Websurfer prüfen können, ob die ihnen angezeigten Web-Seiten echt und nicht gut nachgebildete Kopien zum Abgreifen von Login-Daten per Phishing sind.

Nur: Laut Kaminsky garantiert ein SSL-Zertifikat nicht die Vertrauenswürdigkeit einer Web-Seite. Wer die Nameserver einer SSL-Zertifizierungsstelle erfolgreich infiltriert, könnte sich theoretisch für beliebige Seiten Zertifikate ausstellen lassen, die ein anderes Unternehmen vorgaukeln. Schließlich, so Kaminsky zum IT-Fachdienst "Computerworld": "überprüfen diese Stellen die Echtheit ihrer Zertifikate über E-Mails und Web-Recherchen. Wie sicher ist das wohl bei einem DNS-Angriff?"

Sein Fazit in Las Vegas: "SSL ist nicht das Allheilmittel, das wir alle gern hätten."

Passworte nach Belieben abrufen

Wie hilfreich: Bei welchem Web-Angebot man auch immer sein Passwort vergessen hat - ein Klick auf den richtigen Knopf und schon setzt der Anbieter das vergessene Passwort zurück, schickt einen Link zum Festlegen eines neuen an die registrierte E-Mail-Adresse. Wer über einen DNS-Hack entsprechende Mails abgreift, übernimmt so die Nutzerkonten.

Keine Panik, aber Vorsicht

Bislang ist kein großer Angriff bekannt geworden. Doch der Informatiker warnte im Gespräch mit dem britischen IT-Nachrichtenseite " The Register": "Es gibt wahrscheinlich mehr als einen Versuch, das auszunutzen."

Kaminsky stellt besorgten Anwendern auf seiner Website ein kostenloses Test-Werkzeug zur Verfügung, mit dem sich prüfen lässt, ob die Nameserver des eigenen Internetproviders schon gesichert sind.

Sollte das noch nicht so sein, empfiehlt Kaminsky, einen Nameserver Anbieter wie OpenDNS zu nutzen. Die Server dieser US-Firma sind nicht von der Sicherheitslücke betroffen, Anwender können ihre Rechner mit der OpenDNS-Software dazu bringen, die Nameserver dieser Firma zu nutzen.

Grund zur Panik sieht Kaminsky derzeit nicht: "Wir hatten Glück", schließt sein Vortrag. Aber noch ist die Lücke nicht vollständig geschlossen.

Diesen Artikel...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: