Web-Zentralregister: Wie ein Riesenloch im Netz die Sicherheit bedroht (Spiegel Online, 7.8.2008)

Internet-Zentralregister DNS

Wie ein Riesenloch im Netz die Sicherheit bedroht

Es ist die größte und gefährlichste Sicherheitslücke, die es je im Internet gegeben hat: Geld überweisen, Aktien kaufen, E-Mails schicken – jede Aktion im Netz ist ein Risiko. Jetzt hat ein Experte erstmals erklärt, wie Kriminelle die Schwachstelle ausnutzen können.

Spiegel Online, 7.8.2008

Die 30 Tage sind um. So viel Zeit hatte der US-Hacker und
Sicherheitsexperte Dan Kaminsky Internetprovidern und Web-Unternehmen
gegeben, um eine Sicherheitslücke im Internet-Zentralregister zu stopfen (mehr…). Eine Lücke, deren Missbrauchspotential das
US-Heimatschutzministerium in diesem knappen Satz zusammenfasst: "Angreifer können Aufrufe von Web-Seiten, E-Mail-Verkehr, wichtige Netzwerk-Datenflüsse auf eigene Systeme umleiten."


Sprich:
Mit geschickten Angriffen könnten Kriminelle unerkannt an fast alles
kommen, was im Netz Geld einbringt – Kreditkartennummer, Zugangsdaten
für Ebay, Amazon, PayPal, Facebook und so weiter.

Wie diese Lücke genau aussieht, welche konkreten
Angriffsmöglichkeiten es gibt – das hat Kaminsky bislang
zurückgehalten, um Web-Unternehmen Zeit zu geben, die Schwachstelle
auszubessern. Nun hat Kaminsky bei einem Zwei-Stunden-Vortrag auf der
Netzsicherheitstagung "Black Hat Conference" in Las Vegas Details
enthüllt.

Die gute Nachricht, so Kaminsky in seinem Vortrag: Die meisten
großen Web-Unternehmen wie Google, Microsoft, Yahoo und Facebook aber
auch viele Internetprovider haben ihre Systeme in den vergangenen 30
Tagen abgedichtet.

Die schlechte Nachricht: Die Sicherheitslücke ist wegen technischer
Probleme nicht überall geschlossen, kleinere Unternehmen "stopfen
langsamer", so Kaminsky (in seinem Vortrag visualisiert er die
Verbreitung der Flicken mit dem Video unten).

{youtube}Ff5WBDOwueI{/youtube}

Sprich: Völlig sicher kann sich derzeit kein Web-Nutzer fühlen. Nach
den nun veröffentlichten Details sind Attacken zu erwarten. Nach den
von Kaminsky veröffentlichten Angriffsvarianten ist die
Missbrauchsgefahr noch höher als bislang angenommen.

So verletzlich ist die Internet-Infrastruktur

Der technische Hintergrund
dieser Angriffe ist nicht ganz einfach zu verstehen, zeigt aber, welche
Schäden kleine Fehler an den kritischen Stellen der Netz-Infrastruktur
anrichten könnten. Das sogenannte "Domain Name System" (DNS) ist der
Internet-Dienst, der Web-Adressen, die Menschen sich merken können (zum
Beispiel google.de), in IP-Adressen übersetzt, die Computer ansteuern
können (wie 216.239.59.104).

Die Namensauflösung dieses Registers arbeitet mit einer riesigen,
weltweit auf vielen Servern gespeicherten, verteilten und gespiegelten
Datenbank. Private Web-Nutzer greifen normalerweise auf eine von ihrem
Provider festgelegten Vermittlungspunkt dieses Registers, einen
sogenannten Nameserver.

Infiltrieren, Aushorchen, Abfischen

Wenn es nun Angreifern gelingt, einen dieser Nameserver zu
infiltrierten, könnte er User, die zum Bezahldienst paypal.de wollen,
auf eine beliebige andere Seite schicken – die genauso aussieht, aber
das eingetippte Kennwort in einer Datenbank speichert, mit der
Kriminelle dann Konten leer räumen. Kaminsky legt in der 104-seitigen
Präsentation ( Download als Powerpoint-Datei)
seines Vortrags dar, wie leicht sich die ursprünglichen
Schutzmechanismen des DNS umgehen lassen, um gefälschte
Navigationsbefehle unbemerkt und schneller als die echten ausgeben zu
lassen.

Diese Methode lässt sich nicht nur zum Abfischen von Passworten für
Bezahldienste oder E-Mail-Konten über gefälschte Seiten nutzen.

Kaminsky beschreibt weitere Szenarien:

E-Mails abfangen

Beim Transport von E-Mails schlüsselt Software die ausgeschriebenen
Adressen ähnlich auf wie URLs: Aus der für Menschen gut verständlichen
Buchstabenfolge muss eine IP-Adresse werden, damit Nachrichten korrekt
weitergeschickt werden können.

Kopiert ein Angreifer die E-Mail und leitet sie per DNS-Hack in
seine eigene Lauscher-Datenbank, kann er laut Kaminsky: "sehen, wer wem
schreibt und die für ihn interessanten Nachrichten herausfiltern" –
zwecks weiterer Analyse.

E-Mails manipulieren

Wer mit der Namensauflösung herumspielen kann, wird E-Mails nicht
nur abfangen, sondern auch mit kleinen Änderungen weiterleiten können.
Das könnte vor allem die Verbreitung von Schad-Software effizienter
machen: Ein Drittel der erfolgreich installierten Trojaner, Würmer und
Viren holen sich die Geschädigten selbst auf den Rechner – durch den
Klick auf einen Link zu einer infizierten Seite oder auf einen
E-Mail-Anhang.

Die Erfolgsquote dürfte noch besser werden, wenn Angreifer echte
E-Mail abfangen und mit einem Schad-Code anreichern, statt mit
Spammer-Tricks arbeiten zu müssen. Kaminsky: "Es ist möglich, Mails mit
Anhängen abzufangen, die Dokumente mit Schad-Software zu versehen und
die Nachrichten an den Empfänger weiterzuleiten."

SSL-Zertifikate fälschen

Vielen Banken und Webshops nutzen die SSL-Verschlüsselung, um
sensible Daten wie Kreditkartennummern, Login-Informationen für
Online-Banking und Ähnliches verschlüsselt zwischen dem Browser auf dem
Rechner der Nutzer und den Servern des Unternehmens zu übertragen. SSL
kennt jeder – allein schon, weil bei solchen Verbindungen in der
Adresszeile des Browsers ein https statt das http erscheinen.

Inzwischen nutzen Anbieter solche SSL-Zertifikate auch, damit
Websurfer prüfen können, ob die ihnen angezeigten Web-Seiten echt und
nicht gut nachgebildete Kopien zum Abgreifen von Login-Daten per
Phishing sind.

Nur: Laut Kaminsky garantiert ein SSL-Zertifikat nicht die
Vertrauenswürdigkeit einer Web-Seite. Wer die Nameserver einer
SSL-Zertifizierungsstelle erfolgreich infiltriert, könnte sich
theoretisch für beliebige Seiten Zertifikate ausstellen lassen, die ein
anderes Unternehmen vorgaukeln. Schließlich, so Kaminsky zum
IT-Fachdienst "Computerworld": "überprüfen diese Stellen die Echtheit
ihrer Zertifikate über E-Mails und Web-Recherchen. Wie sicher ist das
wohl bei einem DNS-Angriff?"

Sein Fazit in Las Vegas: "SSL ist nicht das Allheilmittel, das wir alle gern hätten."

Passworte nach Belieben abrufen

Wie hilfreich: Bei welchem Web-Angebot man auch immer sein Passwort
vergessen hat – ein Klick auf den richtigen Knopf und schon setzt der
Anbieter das vergessene Passwort zurück, schickt einen Link zum
Festlegen eines neuen an die registrierte E-Mail-Adresse. Wer über
einen DNS-Hack entsprechende Mails abgreift, übernimmt so die
Nutzerkonten.

Keine Panik, aber Vorsicht

Bislang ist kein großer Angriff bekannt geworden. Doch der
Informatiker warnte im Gespräch mit dem britischen IT-Nachrichtenseite
" The Register": "Es gibt wahrscheinlich mehr als einen Versuch, das auszunutzen."

Kaminsky stellt besorgten Anwendern auf seiner
Website ein
kostenloses Test-Werkzeug zur Verfügung, mit dem sich prüfen lässt, ob
die Nameserver des eigenen Internetproviders schon gesichert sind.

Sollte das noch nicht so sein, empfiehlt Kaminsky, einen Nameserver Anbieter wie
OpenDNS zu
nutzen. Die Server dieser US-Firma sind nicht von der Sicherheitslücke
betroffen, Anwender können ihre Rechner mit der OpenDNS-Software dazu
bringen, die Nameserver dieser Firma zu nutzen.

Grund zur Panik sieht Kaminsky derzeit nicht: "Wir hatten Glück",
schließt sein Vortrag. Aber noch ist die Lücke nicht vollständig
geschlossen.