ICANN: Phishing-Angriff keine Gefahr für die Rootzone
Von dem in der vergangenen Woche bekannt gewordenen Phishing-Angriff auf die ICANN ging keine Gefahr für die Sicherheit der Rootzone aus, versichert die Internetverwaltung. Dennoch könnte der Vorfall der ICANN politisch schaden.
Die von der Internet Assigned Numbers Authority (IANA) verwaltete Root Zone des Domain Name Systems war von dem jüngsten Angriff auf die Internetverwaltung ICANN nicht betroffen. Das erklärte die US-Behörde
National Telecommunications and Information Association (NTIA), die noch die Aufsicht über die Internetverwaltung führt, auf Anfrage von heise online. In der vergangenen Woche hatten Unbekannte zentrale Server der Internet-Verwaltung ICANN erfolgreich angegriffen. Den Angreifern war es dabei laut ICANN gelungen, mittels Spearphishing die Kontrolle über E-Mail-Accounts einiger Mitarbeiter zu erlangen.
Rootzone Updates nicht betroffen
Mit den durch den Angriff kompromittierten E-Mail-Zugangsdaten war theoretisch ein Zugriff auf Nutzerdaten des Centralized Zone Data Service (CZDS) möglich, der zentralen Anlaufstelle für die Zonendaten der Top-Level-Domains. Der CZDS hat aber, anders als teilweise berichtet, nichts mit der Rootzone zu tun. Die IANA-Systeme seien komplett getrennt von Systemen wie CZDS und dem ebenfalls betroffenen zentralen Whois, versichert ICANN-CTO David Conrad. IANA-Mitarbeiter, obwohl Angestellte der ICANN, nutzten für den Rootbetrieb zudem ein komplett unabhängiges System zur Authentifizierung.
Updates für das Rootzonefile würden schon seit geraumer Zeit nicht mehr per E-Mail übermittelt, erklärt David Conrad weiter. Lediglich Mitteilungen über Änderungen würden mit PGP verschlüsselt verschickt. Rootzone Updates dagegen liefen über das Extensible Provisioning Protocol (EPP) auf einem HTTPS-gesicherten Kanal mit X.509 Clients auf beiden Seiten. Conrad widersprach auch Überlegungen, die Angreifer könnten es gezielt auf jüngst zentralisierte Systeme für den Zugriff auf DNS-Daten abgesehen haben. Wie andere technische Experten geht er von einem "Zufallstreffern" der Hacker aus.
ICANN inkompetent?
Dieser "Zufallstreffer" könnte der ICANN nun in der laufenden Debatte über die Reform der politischen Aufsicht schaden. Den Phishing-Angriff nimmt dann auch der technische Betreiber der Rootzone, VeriSign, zum Anlass, die Kompetenz der ICANN in Frage zu stellen. "Die schwankende Performance der ICANN beim Betrieb der Systeme könnte sich als substanzielles Risiko für milliardenschwere E-Commerce Geschäfte und andere kritische Funktionen erweisen“, schreibt VeriSigns Senior Vice President, Pat Kane.
Zwar wirbt VeriSign nicht zuletzt für die eigenen Dienste als Backend-Betreiber für die Rootzone. Allerdings weist Kane auch auf einige interessante Details im aktuellen Arrangement hin. Beim sicherheitstechnisch kritischen DNSSEC-Betrieb zum Beispiel übernimmt die NTIA eine größere Rolle als oft angenommen. Praktisch im Alleingang habe die Behörde den Aufschub eines Key-Rollovers, also der Erneuerung des zentralen Schlüssels, bis nach Einführung der neuen TLDs veranlasst.
Schließlich macht VeriSign auch noch darauf aufmerksam, dass es ohne NTIA schwerer sein könnte Ausnahmegenehmigungen vom Office of Foreign Assets Control (OFAC) zu erhalten. Diese sind beispielsweise notwendig, wenn Änderungen bei Internetzonen von Ländern fällig werden, gegen die die US-Regierungen Sanktionen verhängt hat oder gegen die Pfändungsverfahren laufen – wie zuletzt etwa gegen die Top-Level-Domain des Iran. (vbr)
