Vermeintlicher Hack auf microsoft.com ein Scherz (Update)
Sicherheitsexperten vermuteten einen Angriff auf die Internet-Domain microsoft.com des Software-Konzerns.
Securiteam warnt auf seiner Website vor einer Manipulation an den Whois-Einträgen von Microsofts Internet-Domain microsoft.com. In der Meldung spricht Securiteam von einem laufenden oder geplanten Angriff. Das zeige der hinzugekommene Eintrag MICROSOFT.COM.IS.SECRETLY.RUN.BY.ILLUMINATI.TERRORISTS.NET. Inwieweit die Hacker weitere Daten verändert oder andere Unternehmen geschädigt haben, sei noch nicht abzuschätzen.
Die Whois-Datenbank dient vor allem der Verwaltung des Internet, dort sind etwa die Eigentümer und Verwalter von Domains abgelegt. Im Unterschied zu DNS- oder Routing-Informationen spielen sie für den eigentlichen Betrieb des Internet keine Rolle.
Die Meldung ist allerdings eine Ente. Seruriteam hatte sich vor der Veröffentlichung der Meldung offensichtlich nicht zur Genüge mit den Werkzeugen zur Abfrage der Whois-Datenbank vertraut gemacht. Die gängigen Clients zeigen nicht nur die gesuchte Domain an, sondern alle, die den Suchstring enthalten.
Beinhaltet die Abfrage also nur das Wort Microsoft so erhält man mehrere Domains, unter anderem auch etwa MICROSOFT.FEARPENGUINS.CX. Bei einem flüchtigen Blick täuscht das Suchergebnis: Man glaubt, der Eintrag sei manipuliert. Eine im Suchergebnis enthaltene Information weist allerdings in solchen Fällen darauf hin, dass es sich um mehrere getrennte Einträge handelt. Tatsächlich blieb der Eintrag der Microsoft-Domain völlig unverändert – ein Scherzbold aus San Francisco hat bloß Subdomains für die Domain terrorists.net angelegt. In einem weiteren Eintrag huldigt er etwa Apple mit APPLE.COM.IS.THE.CHOICE.OF.ALL.SELF.RESPECTING.TERRORISTS.NET.
(Inzwischen hat Securiteam gelernt: In ihrer Meldung findet sich nun auch eine genaue Abfrage der Whois-Datenbank, die zu beiden Einträgen die Details ausgibt. Tatsächlich ist für die angezeigte Terrorist.net-Subdomain eine ungültige IP-Adresse angegeben. Securiteam weist nun darauf hin, dass automatisierte Scripts durch den falschen Whois-Eintrag Ausfälle verursachen könnten.
Nur müssen derartige Scripts ohnehin mit Merhfacheinträgen umgehen können. So enthält nur einer der beiden Einträge für IBM.COM auch IP-Adressen. Der eventuell angerichtete Schaden ist also äußerst gering und betrifft nur wenige, die mit unsauber zusammengezimmerten Scripts die whois-Datenbank befragen. Vielmehr scheint es so, als hätte jemand in San Francisco von vorherein auf Sicherheitsexperten wie jene von Securiteam gezielt.) (hes)
