Mehr als 75 Prozent der weltweit verteilten Domain Name Server (DNS) sind nicht ausreichend gesichert und machen es Hackern leicht, Pharming- und DoS-Bomben auf das Internet und die angeschlossenen Anwender abzuwerfen.
Laut einer Umfrage der Measurement Factory können sich dreiviertel der 1,3 Millionen gescannten DNS-Server nicht gegen eine Reihe von Angriffen wehren. Das wäre aber ziemlich nötig, denn die Server übernehmen eine der wichtigsten Aufgaben im Internet überhaupt. Sie übersetzen URLs wie silicon.de in eine IP-Adresse, denn das System kann nur Zahlen verarbeiten. Dann wird die Anfrage entsprechend weitergeleitet. Sollte das Telefonbuch des Webs nicht funktionieren, bleibt die Anfrage stecken und macht alle Funktionen diesbezüglich vorerst nicht abrufbar.
Eine identifizierte Lücke ist der wahllose Zugriff auf den so genannten Namensdienst. Normalerweise haben zwar alle Anwender Zugriff auf den Server, wenn sie eine Webseite ansteuern, aber nur ein kleiner ausgewählter Kreis (Ersatzserver oder bestimmte Hosts) hat Zugang zu dem darunter liegenden Namensdienst – um beispielsweise zu verhindern, dass den Zahlen zugewiesene URLs nicht verändert werden und Hacker den User umleiten könnten (Pharming). Eines der Sicherheitslecks erlaubt aber genau diesen Missbrauch.
Außerdem hat die Studie ermittelt, dass 40 Prozent der Server den so genannten Zonentransfer nicht ausreichend absichern. Wie beim Namensdienst sollen auch hier nur ausgesuchte Hosts den gesamten auf dem DNS-Server abgelegten Datensatz auf einen anderen DNS-Server kopieren können. Haben gekaperte Hosts Zugriff, können Hacker DoS-Attacken auf den Server niederprasseln lassen und ihn schließlich lahm legen.
Mit ein paar einfachen Regeln könne der DNS-Server sicherer gemacht werden, heißt es. So sollten beispielsweise externe DNS-Server in einen Name Server und einen ‘Forwarder’ gesplittet werden. Besser sei auch, dedizierte, speziell abgesicherte Server statt General purpose Server einzusetzen. Außerdem sollte immer die neueste DNS-Server-Software installiert sein und der Datenverkehr zu und von dem Server gefiltert werden.
Davon gehen laut der aktuellen Studie „Performance-Treiber 2024“ acht von zehn Industrieunternehmen aus.
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…