DNS-Server des CCC: Anfällig wegen veralteter Software
Als Reaktion auf das DNS-Hijacking haben die Admins des CCC jetzt erstmal die Server-Software gewechselt. Zuvor werkelte ein DNS-Server, der seit fünf Jahren bekannte Lücken aufwies.
Der vom CCC Berlin betriebene DNS-Server dnscache.berlin.ccc.de (213.73.91.35) wurde das Opfer eines DNS-Cache-Poisoning-Angriffs, erklärt der CCC in einer Stellungnahme. Am gestrigen Mittwoch leitete der als Cache arbeitende Server deshalb Zugriffe seiner Nutzer auf prominente Seiten wie die von Microsoft und Facebook auf Werbeseiten um. Offenbar setzte der Server die Software djbdns ein, die zum Zeitpunkt der Einführung "State of the Art" war, betonte einer der Admins gegenüber heise Security.
Allerdings veröffentlichte bereits vor fünf Jahren ein Forscher eine Untersuchung zu Rapid DNS Poisoning in djbdns, in der er mehrere kritische Sicherheitsprobleme offenlegte. Parallel dazu veröffentlichte er auch Patches, die das einfache Vergiften des Caches mit falschen IP-Adressen verhindern und sendete diese auch an den Autor der Software Dan J. Bernstein. Doch "djb" kümmerte sich offenbar nicht weiter um das von ihm initiierte Projekt; es gab nie eine neue Version, die die Löcher stopfte.
Jedenfalls war es mit den veröffentlichten Techniken relativ einfach, dem DNS-Cache des CCC falsche IP-Adressen unter zu jubeln. Statt der theoretisch erforderlichen 2 x 109 Pakete, um mit einer gefälschten Antwort den zufällig gewählten UDP-Quell-Port und die ebenfalls zufällige Transaktions-ID zu erraten, genügten schon deutlich weniger Versuche. "Ein erfolgreicher Angriff ist unter realistischen Bedingungen in unter zwanzig Minuten mit einer Bandbreite von nur 10MBit/s realisierbar", erklärt der CCC. Ironischerweise wäre der von den meisten Providern eingesetzte Standard-Server BIND, den djbdns verbessern sollte, gegen diesen Angriff immun gewesen.
Die CCC-Admins bemerkten das Sicherheitsproblem erst durch die erfolgreichen Angriffe der vergangenen Tage; sie wechselten als Reaktion jetzt die nicht mehr gepflegte Software aus und setzen nun auf unbound, einen auf Caching spezialisierten DNS-Server, der auch in FreeBSD 10 die Nachfolge von BIND angetreten hat. Woher die Angriffe stammten, ist weiterhin unbekannt.
Update 13.2.2014, 16:30: Jahresangabe korrigiert – die Probleme im djbdns wurden Anfang 2009 veröffentlicht, sind also bereits seit fünf Jahren bekannt, nicht wie ursprünglich geschrieben seit vier. (ju)
