Infizierte Bezahlterminals umgehen Firewalls

Mit einem Umweg übers DNS umgeht eine neue Variante von Schädlingen Sicherheitsmaßnahmen, die den Klau von Kreditkartendaten verhindern sollen. Bei Tausenden US-Unternehmen sollen Bezahlterminals bereits mit Schadsoftware infiziert worden sein.

In Pocket speichern vorlesen Druckansicht 79 Kommentare lesen
Lesezeit: 2 Min.

Rein kommen sie über infizierte PCs oder über externe Speichermedien wie USB-Sticks. Mit spezieller Schad-Software auf Bezahl-Terminals haben Kriminelle allein bei der Einzelhandelskette The Home Depot rund 56 Millionen Kreditkartendaten erbeutet; auch in Deutschland wurden bereits mehrfach Kartenterminals missbraucht um Bezahldaten zu stehlen. Doch wie schmuggelt man die ausspionierten Daten nach draußen, wenn eine Firewall oder sogar eine Trennung der Netze den Zugriff auf externe Server verhindert?

Die Sicherheitsexperten von G Data haben jetzt Malware-Exemplare entdeckt, die dazu das sogenannte DNS-Tunneling nutzen, das c't erstmals vor 14 Jahren im Artikel "Den Firewall getunnelt, Fremde Pakete im Huckepack des DNS" vorgestellt hat. Dabei missbraucht ein Programm den DNS-Server, um Daten an einer Firewall vorbei ins Internet zu schleusen. Die zu transportierenden Daten werden dabei als DNS-Anfragen nach Internet-Adressen der Form

[Daten].einedomain.de

Über die DNS-Anfrage gelangen die Daten -- in diesem Fall das "PING" -- nach draußen.

(Bild: c't 19/2000, Seite 244)

verpackt. Kann ein Rechner – oder Bezahlterminal – solche Namen auflösen, landen diese Anfragen trotz Firewall schlussendlich beim Nameserver, der für die Domain einedomain.de zuständig ist und damit bei den Gangstern. Wie aus gut unterrichteten Kreisen verlautet, könnte man auf diesem Weg auch beispielsweise die Sperren von kostenpflichtigen WLAN-Hotspots umgehen, bei denen in der Regel DNS bereits funktioniert, bevor der Internet-Zugang freigeschaltet wird. Aber schon das wäre natürlich eine Erschleichung von Diensten, die in Deutschland sicher in der ein oder anderen Form strafbar wäre.

Gegen solche Tunnel hilft nur eine wirklich strikte Trennung der Netze oder eine scharfe Überwachung der DNS-Pakete. G Data empfiehlt zusätzlich, in Netzen mit Bezahlterminals Sensoren für passives DNS (PDF) einzusetzen. Diese speichern die übers Netz transportierten DNS-Informationen und helfen bei der Analyse eines Angriffs. (ju)