Caching-Problem bei DNS-Servern bedroht Millionen Nutzer

EnterpriseSicherheit

Hacker könnten den aus Performance-Gründen eingesetzten Cache des DNS-Servers missbrauchen, um ‘echte’ Webseiten durch gefälschte Dubletten zu ersetzen.

Der Sicherheitsexperte Dan Kaminsky warnt vor leicht verletzbaren Domain Name Servern. Hacker könnten den aus Performance-Gründen eingesetzten Cache des DNS-Servers missbrauchen, um ‘echte’ Webseiten durch gefälschte Dubletten zu ersetzen. Die Folge: Anwender werden irrgeleitet und geben möglicherweise persönliche Informationen wie die Kreditkartennummer preis, ohne zu wissen, dass sie die Daten auf einer Hackerseite eingeben.

Diese Warnung gab Kaminsky auf der Hacker-Konferenz Defcon vor ziemlich genau einem Jahr heraus. Dieses Jahr muss er es wieder tun, weil sich nichts an der Sicherheit diesbezüglich geändert hat.

Von 2,5 Millionen gescannten DNS-Maschinen seien immer noch etwa 230.000 besonders für die Cache-Attacke anfällig, was immerhin 10 Prozent entspricht, hat Kaminsky auf der ‘Black Hat’-Konferenz gewarnt. Immerhin existieren weltweit rund 9 Millionen Server. Da kann man jetzt leicht hochrechnen, wie groß die Gefahr ist.

Die verletzbaren Server laufen mit der weit verbreiteten, aber scheinbar unsicheren Berkeley Internet Name Domain Software, kurz BIND. Betroffen sind Systeme mit BIND 4 oder BIND 8, die als so genannte Forwarder, Weiterleiter, für die DNS-Anfragen benutzt werden. Genau vor der Benutzung des Forwarders habe der Distributor der Software, das Internet Software Consortium, schon gewarnt, so Kaminsky in US-Medien. Auf deren Webseite wird auf das Problem mit den Weiterleitern explizit hingewiesen und ein Upgrade auf BIND 9 empfohlen.

Die Gefahren sind ja bekannt. Und besonders schwer sei es auch nicht, das ‘Telefonbuch des Internet’, wie man die Server auch bezeichnen kann, auszutricksen, so Kaminsky. Sie wandeln nämlich Text-URLs wie beispielsweise www.silicon.de in IP-Adressen um, weil im Web ausschließlich mit Zahlen gearbeitet wird. Für den Menschen sind vielstellige IP-Nummern aber schlecht zu merken, weswegen man sich für diese Transformationsform entschieden hat.

Wer als Angreifer das ‘Caching-Problem’ kennt, kann eine Anfrage an einen DNS-Server so stellen, dass mit der Rückfrage des Servers an den Absender eine weitere Nachricht versendet wird, die beispielsweise einen Virus oder eine gefälschte Webadresse im Gepäck hat. Ist der Cache nicht ausreichend abgesichert, nimmt er die gefälschte Adresse und ersetzt damit die echte. Jeder Nutzer, der dann, sagen wir, die Homepage seiner Bank ansurfen will, wird auf eine gefälschte Bankseite umgeleitet, die genauso aussieht wie das Original. Gibt der Benutzer hier seine persönlichen Daten ein, legt er sie dem Hacker auf ein Silbertablett.

Weil ein solcher Server die Anfragen tausender User bearbeitet, können auch eben all diese Benutzer Opfer der, beispielsweise, gefälschten Webseiten werden. “Diese Form der Attacke muss man sich vorstellen wie ein umgedrehtes Straßenschild, das Wegsuchende in die falsche Richtung lenkt”, sagte DNS-Erfinder Paul Mockapetris. Es habe immer wieder Lücken im DNS-System gegeben, dieses aber sei seit langem aktuell und mit einem Upgrade zu schließen, so Mockapetris gegenüber der US-Presse.