Public Domains

Eine Sicherheitslücke beim DeNIC ermöglichte es bis vor kurzem, bei sämtlichen .de-Domains nicht nur den Besitzer zu ändern, sondern sie sogar auf einen beliebigen anderen Server umzuleiten. Erst als c't recherchierte, wurde das seit Jahren bestehende Loch provisorisch gestopft.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 9 Min.
Von
  • Patrick Brauch
Inhaltsverzeichnis

Domain-Namen sind heutzutage weit mehr als nur eine Internet-Adresse. Unternehmen definieren sich mehr und mehr über ihren Web-Auftritt und sind für ihre Geschäfte auf den reibungslosen Betrieb ihrer Internetpräsenz angewiesen. Da sollte man doch meinen, dass diese ‘Grundbucheinträge’ des Internet entsprechend gesichert sind. Irrtum!

c't hat herausgefunden, dass es mit einer simplen E-Mail möglich war, nicht nur die Personendaten der Eigentümer beliebiger .de-Domains zu ändern, sondern die Webseiten gleich noch auf andere Zieladressen umzuleiten. Besonders pikant: Dem DeNIC war die Gefährdung offenbar bekannt, denn es hat bereits vor über drei Jahren eine Verschlüsselungslösung spezifiziert, die gegen diesen Missbrauch schützen sollte. Diese wurde aber bis heute nicht implementiert.

Als zentrale Registrierungsstelle für Domain-Namen mit dem Länderkürzel .de verwaltet das DeNIC die WHOIS-Datenbank, die alle Registrierungsinformationen für diese Domains enthält. Dazu gehören neben den Personendaten (Besitzer, admin-c, tech-c, zone-c) auch die zugewiesenen Nameserver (DNS).

Provider, die Domain-Hosting betreiben, registrieren und pflegen ihre Domains über DeNIC-Mitglieder. Nur diese zurzeit 166 übergeordneten Provider sind autorisiert, Änderungen in der WHOIS-Datenbank zu veranlassen. Üblicherweise geschieht das mit E-Mails, die einem vom DeNIC festgelegten Standard folgen. Mittlerweile produziert die deutsche Domain-Infrastruktur so viele Updates, KKs (Konnektivitäts-Koordinationen) und sonstige Änderungen, dass die Zahl der eintreffenden Mails beim DeNIC in den fünfstelligen Bereich pro Tag geht.

Es leuchtet ein, dass dieses Mail-Aufkommen nur noch automatisiert bewältigt werden kann. Das erledigt seit Jahren ein Robot-System, wie es andere Registrierungsstellen (RIPE, NetSol) in ähnlicher Form zur Verfügung stellen.

Die Sicherheitslücke beim DeNIC beruhte auf unzureichenden Sicherheitsmerkmalen in diesen automatisierten Nachrichten. Ob eine Mail ‘autorisiert’ ist, eine Änderung zu veranlassen, entscheidet der Robot lediglich anhand von Mail-Headern, die jeder Absender mit entsprechendem Know-how beliebig manipulieren kann. Dazu zählt beispielsweise der ‘From’-Header; er muss der beim DeNIC registrierten Mail-Adresse des Hostmasters entsprechen, der die Domain registriert hat. Diese Adresse ist in vielen Fällen ganz einfach zu erraten: hostmaster@schlund.de, hostmaster@ubcom.net und so weiter. Einen solchen gefälschten Header kann man ohne Tricks mit jedem E-Mail-Client einbauen.

Nicht ganz so offensichtlich, aber ebenso einfach zu erfahren, ist ein anderes Merkmal, die so genannte Reg-ID. Bei diesem Header handelt es sich um eine interne Provider-Kennung, die das DeNIC-Mitglied bezeichnet, das die entsprechende Domain hostet. Zu raten braucht man hier nicht, denn das DeNIC stellt diese Bezeichnung auf seiner Website zur Verfügung: Die Hyperlinks der aufgelisteten DeNIC-Mitglieder enthalten ‘rein zufällig’ die besagte Reg-ID. Ebenso wie die Absenderadresse kann auch dieser Header einfach in eine E-Mail eingebaut werden.

Zudem hat sich bei etlichen DeNIC-Mitgliedern die Gepflogenheit entwickelt, Änderungsbestätigungen vom DeNIC inklusive aller Header an Kunden weiterzuleiten, sodass die Syntax für Update-Anträge einem großen Personenkreis bekannt sein dürfte.

Soviel zur Theorie. In der Praxis konnten wir mit einer manipulierten E-Mail innerhalb von wenigen Minuten alle Personendaten der Schlund-Domain aa100.de ändern (diese Domain hatte c't im Rahmen eines früheren Provider-Tests anonym angemeldet).

Diese ‘Entführung’ ist allerdings nicht ganz so kritisch wie es scheint, denn die Datenbank von Schlund hat immer noch die Originaleinträge gespeichert. Und da der Vertrag über die Registrierung einer Domain ohnehin ausschließlich zwischen dem Domain-Inhaber und dem DeNIC zustande kommt, kann der Gefoppte auch die Registrierungsstelle in die Pflicht nehmen. ‘Dem Domain-Inhaber kann es völlig egal sein, wer plötzlich in der WHOIS-Datenbank als Inhaber geführt wird, solange er den Inhaberwechsel nicht veranlasst hat’, beruhigt der auf Internetrecht spezialisierte Rechtsanwalt Tobias H. Strömer aus Düsseldorf. Das DeNIC sei aus dem Registrierungsvertrag ohne weiteres verpflichtet, den Eintrag wieder zu korrigieren, sobald der ursprünglich Eingetragene das verlangt.

Solche Lücken sind dem DeNIC auch nicht neu, schon vor ziemlich genau einem Jahr wurde ein Sicherheitsloch [1] bekannt, das frappierende Ähnlichkeit mit dieser Schwachstelle aufwies. Damals hatte ein Provider ein generisches Passwort ins Web gestellt, das jedem erlaubte, via E-Mail die Personendaten bestimmter Domains zu ändern.

Durch Manipulation von Personendaten kann ein Angreifer allerdings nicht den Inhalt einer Domain verändern. Doch über die Änderung der für die Domain zuständigen Nameserver lassen sich Hostnamen auf andere IP-Adressen (Server) umlenken - auch das sieht das Robot-System via E-Mail vor. Dazu muss der Angreifer Zugriff auf einen Nameserver haben, dort die gewünschte Zieladresse eintragen und mit einem Update-Antrag an den DeNIC-Robot den neuen Nameserver als ‘Authority’ für die Domain eintragen lassen.

Problemlos klappte der Nameserver-Austausch der privaten Domain infolation.de [2]. Der lokale Webhoster webjump.de hat für diesen Test freundlicherweise entsprechende Einträge in seine Nameserver gesetzt, sodass die Seite nach dem nächsten DeNIC-Update auf heise.de verwies.

Aus dieser klaffenden Sicherheitslücke ergaben sich beängstigende Möglichkeiten für Denial-of-Service-Angriffe, besonders wenn das Opfer seine Domain nach Transfervolumen bezahlt: Hier gibt es dann gleich mehrere Opfer, diejenigen, deren Domains ‘entführt’ wurden und der Besitzer des ‘Ziel-Servers’, der sich auf eine gesalzene Abrechnung seines Providers freuen darf. Ebenso könnte jemand theoretisch das gesamte deutsche Web lahm legen. Der GAU wäre ein Mail-Wurm, der die DNS-Umleitungen in großer Anzahl vornimmt.

Und selbst diese Drohung lässt sich noch überbieten: Mal eben alle Mails einer Konkurrenzfirma umzuleiten, um sich Kopien zu ziehen, ist genauso möglich, wie die Komplettumleitung eines Freemailers oder gar eines Börsen-Portals - selbst Wirtschaftsspionage ist damit Tür und Tor geöffnet.

Bei diesen Möglichkeiten muss man wohl von Glück reden, dass in den vergangenen Jahren keine Katastrophen passiert sind. Ob aber nicht der eine oder andere (ehemalige) Hostmaster diese Lücke für seine eigenen Zwecke ausgenutzt hat, ist im Nachhinein schwierig festzustellen. DeNIC-Chefin Sabine Dolderer versichert zwar, dass solche Fälle nicht bekannt seien und die Manipulationen ohnehin aufgefallen wären - da sich aber alle Änderungen binnen einer Nacht auch wieder rückgängig machen lassen, ist es fraglich, wie viel solche Aussagen wert sind.

Es ist nicht so, dass es für dieses Problem keine Lösung gäbe. Bereits im Mai 1998 legte das DeNIC eine quasi fertige Spezifikation für die Implementierung von PGP-Signaturen vor, die diese Manipulationen ausgeschlossen hätten. Neben der Ankündigung, ‘zukünftig’ eine PGP-Implementierung zu bieten, hieß es damals in einem Rundschreiben an die Mitglieder: ‘Möchte der Provider PGP nicht verwenden, dann können seine Mails nur unzureichend authentifiziert werden, und er geht das Risiko ein, dass seine Domains von unberechtigten Dritten manipuliert werden.’ Gegenüber c't nannte Dolderer ‘Lizenzprobleme’ und ‘Datendurchsatz’ als Gründe dafür, dass PGP bis heute nicht eingebaut wurde.

Insofern müssen sich auch die DeNIC-Mitglieder Vorwürfe gefallen lassen; schließlich wussten sie über die Unsicherheit ihrer Domaindaten seit Jahren Bescheid und hätten mehr Druck auf das DeNIC ausüben können. Auf der DeNIC-Mailingliste (der Mail-Verteiler des DeNIC an alle Mitglieder) waren in den letzten Wochen allerdings recht böse Bemerkungen zu lesen - viele Provider verstehen nicht, weshalb das DeNIC erst jetzt, nachdem die Presse angefragt hat, plötzlich auf eine Lösung für das alte Problem drängt.

Auf unsere Nachforschungen reagierte das DeNIC dann auch vergleichsweise zügig und verlangt ab sofort ein Provider-Passwort in den E-Mails. Das bietet natürlich keine optimale Sicherheit, aber es verhindert immerhin provisorisch, dass jedermann ohne weiteres Domain-Einträge anderer DeNIC-Mitglieder verändern kann.

An der PGP-Lösung wird jetzt mit Hochdruck gearbeitet. Laut Dolderer soll sie noch in diesem Jahr zum Einsatz kommen. Natürlich bedeutet das nicht nur für das DeNIC, sondern auch für die Provider Umbauarbeiten am Robot-System, die jedoch nicht allzu schwierig sein können. Bei der UBCOM AG, Provider und DeNIC-Member aus Lübeck, wurde die Passwort-Authentifizierung binnen weniger Tage eingebaut. UBCOM-Hostmaster Martin Timm teilte mit, dass man auch schon in der Lage sei, alle Mails an die DeNIC-Robots mit PGP zu signieren - die entsprechenden ‘Umbauarbeiten’ seien bereits erledigt. Jetzt warte man nur noch auf die Umsetzung beim DeNIC. (pab)

[1] ‘Maintainer’-Sicherheitslücke

[2] Ursprung der Infolation: www.heise.de/ct/00/01/003 (ole)