Massives DNS-Sicherheitsproblem gefährdet das Internet

[color="Lime"]Massives DNS-Sicherheitsproblem gefährdet das Internet [/color]

Das US-CERT und andere Sicherheitsexperten warnen vor einem kritischen Design-Problem, das alle DNS-Implementierungen betrifft. Der Domain Name Service ist dafür zuständig, lesbare Namen wie heise online in IP-Adressen wie 193.99.144.85 umzuwandeln, mit denen Computer umgehen können. DNS ist somit das Telefonbuch des Internet, ohne das gar nichts mehr geht; wer den DNS unter seine Kontrolle bringt, beherrscht das Internet.

Damit die Namensauflösung nicht für jede Netzwerkverbindung erneut erfolgen muss, speichern viele Systeme die Ergebnisse eine Zeit lang in einem Cache. Gelingt es einem Angreifer, in einen solchen Cache falsche Adressen einzuschleusen, könnte er damit beliebige Netzwerkverbindungen so umleiten, dass sie auf auf Systemen unter seiner Kontrolle landen. Damit wären ungeheure Phish-Züge möglich, bei denen im großen Stil Passwörter, Kreditkartendaten oder auch Zugangsdaten zum Online-Banking geklaut würden.

Das grundsätzliche Problem bei DNS ist, dass sich die Antworten auf Anfragen prinzipiell fälschen lassen. Deshalb verwenden aktuelle Systeme für jede Anfrage eine zufällig gewählte 16-bittige Transaktions-ID. Nur wenn die Antwort diese ebenfalls enthält, kommt sie vom richtigen Server; die Chance, dass ein Angreifer sie errät, ist vernachlässigbar klein. Amit Klein hat allerdings bereits mehrfach gezeigt, dass und wie sich Implementierungsfehler zum Beispiel beim eingesetzten Zufallszahlengenerator für DNS-Cache-Poisoning ausnutzen lassen.

Der Sicherheitswarnung des US-CERTs zu Folge hat der Sicherheitsexperte Dan Kaminsky jetzt jedoch eine allgemeine Methode entdeckt, den involvierten Zufall so weit zu reduzieren, dass sich Cache-Poisoning effektiv umsetzen lässt. Diese Methode beruht offenbar nicht auf einer fehlerhaften Implementierung sondern auf einem trickreichen Angriffsszenario, das die Chancen des Angreifers deutlich erhöht. Details dazu will Kaminsky erst auf der Blackhat Konfererenz im August enthüllen. Betroffen sind fast alle namhaften Hersteller einschließlich ISC dessen BIND der meisteingesetzte Server ist, Cisco und Microsoft.

Kaminsky benachrichtigte die Hersteller, die daraufhin aktualisierte Versionen ihrer Software entwickelten und koordiniert am 8. Juli veröffentlichten. Sie sollen die Hürden für den Angreifer wieder etwas höher legen. Dazu wählen sie unter anderem zufällige UDP-Quellports für ihre DNS-Anfragen. Allerdings betont ISC, dass letztlich nur die Erweiterung DNSSEC zuverlässig Abhilfe schafft. Da jedoch dessen Einführung nicht über Nacht zu bewerkstelligen ist, raten sie dringend zur Installation der aktuellen Updates.

Schon das koordinierte Vorgehen der sonst nicht sonderlich auf Zusammenarbeit bedachten Konkurenten, lässt die Bedeutung dieses Problems erahnen. Es steht zu befürchten, dass nun, nachdem die Katze einmal aus dem Sack ist, auch andere sehr schnell auf den Dreh kommen, wie Kaminsky die DNS-Server austrickst. Deshalb sollten alle Betreiber von DNS-Servern, die auch als Cache arbeiten, so schnell wie möglich Kontakt zum Hersteller der eingesetzten Software aufnehmen, um sich über den aktuellen Stand der Dinge und empfehlenswerte Schutzmaßnahmen zu informieren. Noch gibt es keinen Grund zur Panik, aber Eile ist durchaus geboten.

[SIZE="1"]heise[/SIZE]

Hacker könnten Web wegen DNS-Lücke lahm legen

Diverse Anbieter von Hard- und Softwareprodukten liefern derzeit Patches aus, um eine schwerwiegende Schwachstelle zu schließen, die es einem geschickten Angreifer ermöglichen würden, den Internetverkehr in großem Stil umzuleiten.

Das Problem wurde von Dan Kaminsky, Chef der Abteilung für Penetration Testing bei der Firma IOActive, entdeckt. Seinen Angaben zufolge handelt es sich um einen "Design-Fehler" in den vom Domain Name System (DNS) des Internet genutzten Protokollen.

Über DNS-Server werden normalerweise die IP-Adressen an alle Internet-Rechner vergeben und die Anfragen der Nutzer an die richtige Adresse geleitet. Bisher gibt es zwar keine aktiven Versuche, die Schwachstelle auszunutzen, doch ließen sich mit ihr Nutzer auf ganz andere Server umleiten.

Kaminsky will erst auf der Sicherheitskonferenz Black Hat im August ausführliche Informationen zu der Problematik herausgeben. Vorerst hat er 16 wichtige IT-Anbieter informiert, so dass diese ihre Produkte gegen das Problem rüsten können. Schon seit März hatten die Firmen Zeit, entsprechende Patches zu entwickeln.

Am gestrigen 8. Juli war es nun soweit - alle von Kaminsky informierten Unternehmen veröffentlichten gleichzeitig ihre Patches für das DNS-Problem. Dazu gehören unter anderem Cisco, Sun und die Anbieter freier Betriebssysteme. Microsoft nutzte den gestrigen Patch-Day zur Veröffentlichung eines Updates (MS08-37, wir berichteten).

Nach Angaben von Kaminsky sorgen die Patches dafür, dass der ausgehende Port für jede DNS-Anfrage beliebig neu gewählt wird. Der Vorgang beruht bisher ausschließlich auf so genannten Transaktions-IDs, bei der jeder Anfrage eine bestimmte Nummer von 1 bis 65.000 verpasst wird. Dies reicht laut Kaminksy nicht mehr aus.

Es sei unter Umständen möglich, die ebenfalls beliebig festgelegte Transaktions-ID zu ermitteln, da sich mit neuen Methoden die Zufallsmöglichkeiten reduzieren lassen. Kaminsky hat allerdings auch seine Kritiker, denn nach deren Auffassung ist das Problem nicht neu. Ähnliche Warnungen gab es schon in den Jahren 1999 und 2002.

Damals hatten andere Sicherheitsexperten ebenfalls vor einem Design-Fehler des DNS gewarnt. Einige Kritiker bemängeln nun, dass die Soft- und Hardwareanbieter nun nur deshalb eine riesige Patch-Aktion starten müssen, weil Kaminsky seine Erkenntnisse zu der Schwachstelle im August publik machen will.

Kaminsky hat unterdessen einen kleinen Test (am oberen rechten Ende seines Weblogs) veröffentlicht, mit dem die Anwender prüfen können, ob der von ihnen genutzte DNS-Server von der Problematik betroffen ist. Auch Client-Systeme ließen sich durch die Schwachstelle kompromittieren, es ist aber wie erwähnt davon auszugehen, dass die meisten Anbieter bereits Patches ausliefern.

QUELLE: