DNSSEC könnte das Web sichern
Von Uli Ries
Das Domain Name System (DNS) ist der Kern des Internets. Nichts geht ohne das vereinfacht „Telefonbuch des Internets“ genannte System. Umso Besorgnis erregender sind die Details, die der amerikanische IT-Sicherheitsexperte Dan Kaminsky in seinen weithin beachteten Vorträgen seit August 2008 veröffentlicht.
Damals berichtete er erstmals über die inzwischen nach ihm benannte Lücke im DNS, die, ausgenutzt durch böswillige Hacker, eine immense Gefahr für jegliche Internet-Anwendung wie E-Mail, Voice over IP, Datenbanken oder E-Commerce bedeutet hätte – „hätte“, da es Kaminsky gelang, alle wichtigen Hersteller und Betreiber von DNS-Servern sowie Netzwerkausrüster an einen Tisch zu bekommen, so dass alle gleichzeitig in der ersten konzertierten Aktion 75 % aller weltweiten DNS-Server patchen konnten.
Umgeleitet untergeschoben
Wichtig bei der Entwicklung des Updates war, die Problemlösung möglichst simpel zu gestalten. Nur so ließ sich die Akzeptanz der zum Einspielen der Patches notwendigen Administratoren sicherstellen. Würde sich durch den Patch z.B. etwas an der Semantik des DNS ändern, so dass nach der Installation nur ein Prozent der Hostnamen nicht mehr auflösbar wäre, würden Systemverwalter den Patch aus Furcht vor einem Aufschrei aus den Reihen der Mitarbeiter nicht einspielen. Was die Zahl von 75 % umgerechnet auf die nunmehr vor der Kaminsky-Attacke geschützten Internet-Nutzer bedeutet, kann Kaminsky allerdings nicht einschätzen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Auch Service-Oriented Architecture (SOA) und Software-as-a-Service-Systeme (SaaS) sind vom DNS-Bug betroffen. Denn auch diese Dienste kommen nicht ohne DNS-Abfragen aus. So könnten z.B. solche Backup-Dienste angreifbar werden, bei denen die zu sichernden Daten auf den Servern des Anbieters abgelegt werden. Im Falle einer erfolgreichen Attacke würden sämtliche Backups auf dem Server des Angreifers landen.
Kaminsky wies auch auf Finanzabrechnungsdienste hin, die vom Anbieter auf einem Webserver gehostet werden. Auch hier kann der Client dazu verleitet werden, die sensiblen Daten an einen unbekannten, vom Angreifer betriebenen Server zu schicken, ohne dass der Anwender davon etwas merkt.
Der Hacker Dan Kaminsky entdeckte 2008 den inzwischen nach ihm benannten Bug im Domain Name System. (Bild: Uli Ries)
Kaminsky erwähnte in seinem Vortrag auch das Evilgrade genannte Packet eines argentinischen Programmierers. Evilgrade gaukelt einer Anwendung wie Adobe Acrobat, Skype oder Webdiensten wie LinkedIn vor, der jeweilige Update-Server zu sein und schiebt der Anwendung beim Versuch eines automatischen Updates anstatt des Upgrades eine Malware-Datei unter. Evilgrade konnte seine Gefährlichkeit bisher nicht entfalten, da das Opfer nur sehr umständlich zum vermeintlichen Update-Server umgeleitet werden konnte. Mit Hilfe der DNS-Attacke wäre dieses „Problem“ nun gelöst, sagte Kaminsky. Den wohl wichtigsten Update-Dienst überhaupt, das jedem modernen Windows-Rechner eigene Windows Update, hält der Experte aber für sicher.
DNS: von Anfang an offen
Die von Kaminsky zusammengetrommelten Hersteller mussten ihre Softwareflicken bereitstellen, da DNS von Haus aus keinerlei Sicherheitskonzepte mitbringt. Dies bestätigt der Erfinder des Domain Name Systems, Dr. Paul Mockapetris. Er sagt: DNS hat kein schwaches Sicherheitskonzept, es hat schlicht und einfach gar kein Sicherheitskonzept.
Der Grund: DNS wurde ursprünglich nicht dafür gemacht, sich gegen Angriffe zu stellen oder als Sicherungsmechanismus zu dienen. Mockapetris war aufgrund des für damalige Verhältnisse ohnehin komplexen Designs von DNS gezwungen, auf Sicherheitsfunktionen zu verzichten. Daher ist der Erfinder auch nicht von der Kaminsky-Attacke und deren Funktionstüchtigkeit überrascht.
Kaminsky selbst demonstrierte, welche weit reichenden Folgen der Bug bei ungesicherten DNS-Servern haben kann: Kaminsky nutzte die Passwort-Wiederherstellungsfunktion von Drupal, einem weit verbreiteten [[Content Management System] (CMS) auf Open-Source-Basis.
Die Wiederherstellung funktioniert wie bei vielen anderen Online-Anwendungen auch: Die Funktion schickt den Link zur Wiederherstellung des – vermeintlich – vergessenen Passworts während Kaminskys Demonstration per E-Mail an den Angreifer. Dieser hatte zuvor mit einem gängigen, weitgehend automatisierten Angriffstool, das inzwischen auch die Kaminsky-Attacke beherrscht, den Cache des zuständigen Nameservers manipuliert. Daraufhin schickte der CMS-Server die E-Mail nicht an den legitimen Drupal-Administrator, sondern an den Angreifer, der so Administratorenrechte erlangt hat. Er kann jetzt beliebigen Schadcode (bösartige PHP- oder JavaScripts) in die Webseiten des Opfers schleusen und auf diese Art nichts ahnende Websurfer ohne deren Zutun mit Malware infizieren (Drive-by Infection).
Dr. Mockapetris vergleicht die aktuelle Lage mit einem Wirbelsturm: Nach dem ersten Aufruhr, den Kaminskys Entdeckung und die direkt folgenden Angriffsversuche verursacht hatten, sind die Web-User inzwischen ins windstille Auge des Sturms gerückt. In der kommenden Phase stehen die Zeichen aber wieder auf Sturm. Mockapetris glaubt, dass Cyberkriminelle momentan gar keine komplexen DNS-Attacken reiten müssen, um Geld zu verdienen. Es gibt reichlich ungepatchte Rechner in Büros und Haushalten, die mit Keyloggern infiziert werden können, um sensible Daten auszuspähen. Erst wenn dieses Feld abgegrast ist, werden sich zumindest die clevereren Internet-Gauner dem DNS zuwenden.
Teil 1 umreißt die Risiken einer vernetzten Welt: Wie kommen all die Messpunkte und Smart Devices an ihre Sicherheitsupdates? Teil 2 spitzt die Problematik weiter zu: In der Industrie 4.0 reden Safety und Security oft aneinander vorbei. Ein Sonderbeitrag sieht sich das Sicherheitslabor des Fraunhofer IOSB genauer an: Die Simulation kann Industrie-4.0-Sicherheitsstrategien für den Mittelstand am lebenden Modell testen.
Sichere Alternative in Sicht
Für Kaminsky gibt es keine gangbare Alternative zu DNS. Eine Authentifizierung von Benutzern – wie im Fall der Drupal-Installation – oder Maschinen per Public Key Infrastructure (PKI) ist laut Kaminsky zu komplex und nicht praktikabel. Also muss DNS um geeignete Techniken erweitert werden. Auch die Patches, die Angriffe auf den Kaminsky-Bug verhindern sollen, tragen nur mäßig zur DNS-Sicherheit bei. Laut Mockapatris kann eine Brute-Force-Attacke – eine (Gigabit-)schnelle Internet-Anbindung vorausgesetzt – binnen weniger Stunden auch bei gepatchten Servern zum Erfolg führen. Mehr Sicherheit war aber mit dem verfügbaren Patch nicht zu erreichen, wie Kaminsky erklärt. Denn noch umfassendere Neuerungen hätten unvermeidbare, aber gleichzeitig nicht akzeptable Kompatibilitätsprobleme zu vorhandenen Anwendungen verursacht.
Das vom Programmierguru Daniel J. Bernstein entwickelte Konzept namens DNSCurve sieht Kaminsky ebenso kritisch. Er erwartet Probleme, da die DNS-Server bei jeder Anfrage sehr umfangreiche kryptografische Berechnungen erledigen müssen. Kaminsky bezweifelt, dass häufig genutzte Nameserver mit dieser zusätzlichen Rechenlast klarkommen.
Für die DNS-Experten Kaminsky und Mockapetris ist daher DNSSEC (Domain Name System Security Extensions) die einzige Alternative. Diese neue DNS-Variante ist an den entscheidenden Stellen abgesichert und bietet daher den notwendigen Schutz. Sowohl Kaminsky als auch Mockapetris sehen aber technische Probleme, die der flächendeckenden Verbreitung von DNSSEC entgegen stehen. Allen voran nennt Kaminsky die mangelnde Skalierbarkeit. Solange ein massenhafter, weitgehend automatischer Betrieb von DNSSEC-Maschinen nicht möglich ist, wird sich die Technik nicht durchsetzen. Mockapetris schätzt, dass bis 2012 nur 50 % aller Internet-Provider auf DNSSEC bauen werden.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing