Flicken fürs Netz

Ein schwerwiegendes Sicherheitsproblem in einem grundlegenden Bereich der Internet-Infrastruktur wurde von den Herstellern in konzertierter Aktion behoben. Es war das größte Update seiner Art in der Netzgeschichte.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 6 Min.
Von
  • Erica Naone

Am 8. Juli brachten mehrere bedeutende Softwareanbieter zeitgleich ein Update heraus, das einen Fehler im Unterbau des Internets beheben sollte. Experten nennen die Aktion die größte koordinierte Sicherheitsaktualisierung in der Geschichte des Netzes. Hersteller und Sicherheitsforscher hoffen, dass die konzertierte Aktion die Fehlerbehebung in den nächsten Wochen auch noch auf das letzte betroffene System bringen wird, bevor Angreifer die Hintergründe des Problems herausfinden und beginnen können, es auszunutzen. Sollte das passieren, könnte das katastrophale Folgen für die Internet-Nutzer haben.

Entdeckt wurde der Fehler, der im Domain Name System (DNS) steckt, bereits vor sechs Monaten vom IT-Security Spezialisten Dan Kaminsky, Direktor für den Bereich Penetrationstests beim Sicherheitsunternehmen IOActive. DNS ist das Kernelement im Internet, über das sich Systeme gegenseitig auffinden. Kaminsky umschreibt DNS als eine Art gelbe Seiten für das Netz: Tippt man eine Adresse wie "heise.de" in den Browser, macht der Dienst daraus die numerische Anschrift des gesuchten Webservers, die so genannte IP-Adresse – in diesem Fall 193.99.144.80. "Das ist so, wie wenn man der Telefonauskunft einen Namen gibt und dafür dann eine Telefonnummer erhält", erklärt Kaminsky.

Der Fehler, den der Experte entdeckte, ermöglicht es Angreifern, das System potenziell zu übernehmen und den Datenverkehr umzuleiten – und zwar ganz nach ihren Wünschen. Das Worst-Case-Szenario sähe ziemlich übel aus, meint Kaminsky. "Man hätte zwar das Internet vor sich, aber es wäre nicht mehr das Internet, das man erwartet." Ein Nutzer könnte dann beispielsweise die Adresse seiner Bank eintippen, dann aber auf eine Angriffsseite Krimineller umgeleitet werden – ohne dass er es bemerkt.

Konkrete Details zu dem Fehler wurden bislang nicht veröffentlicht – aus Sicherheitsgründen. Nachdem Kaminsky das Problem aufgefunden hatte, informierte er ohne großes Aufheben die großen Hersteller von DNS-Hardware und Software. Im März war er dann einer von 16 IT-Sicherheitsforschern, die sich auf dem Campus von Microsoft im amerikanischen Redmond trafen, um einen Plan zu entwerfen, wie sich das Loch stopfen ließ, ohne Informationen zu veröffentlichen, die Angreifer nutzen könnten.

Man entschied sich, die notwendigen Updates, Patch genannt, simultan zu veröffentlichen. Da bekannt ist, dass ein solcher Patch mit einiger Bastelarbeit Rückschlüsse auf den Fehler, den er beheben soll, zulässt, entschlossen sich die Experten, ihn so zu gestalten, dass die eigentliche Natur des Problems versteckt bleibt. "Wir haben alles getan, was in unsere Macht stand, eine Lösung zu liefern, die so viel verschleiert, wie es nur geht. Die guten Jungs sollen so lange im Vorteil sein wie nur möglich." Doch das werde nicht ewig so bleiben. "Wir denken und hoffen, dass es mindestens ein Monat sein wird."

Da der Fehler im Design des DNS selbst steckt, sind Produkte zahlreicher Anbieter betroffen – darunter Microsoft, Cisco, Sun Microsystems und Red Hat, wie es in einem Bericht der IT-Sicherheitsgruppe des US-Heimatschutzministeriums heißt. Der Fehler ist außerdem serverspezifisch, das heißt, dass vor allem die Internet-Provider und Firmennetzbetreiber etwas tun müssen. Heimanwender sollen, falls nötig, über automatische Betriebssystem-Updates versorgt werden.

Rick Mogull, Analyst beim IT-Sicherheitsunternehmen Securosis, betont, dass das Problem "absolut jeden" betreffe, der das Internet heute nutze. Zwar müssten die meisten Heimanwender nichts unternehmen, doch für Firmen sei es enorm wichtig, sicherzustellen, dass sie jetzt reagierten. "Das ist ein enorm kritisches Problem, das die normale Geschäftstätigkeit eines Unternehmens akut beeinträchtigen könnte."

Obwohl Kaminsky vorsichtig ist und die Informationen zu dem Fehler weitgehend für sich behält, nennt er doch diese Fakten: Das Problem liegt im Bestätigungscode, der DNS-Abfragen eigentlich absichern soll. Wenn ein DNS-Rechner auf die Anfrage nach der IP-Nummer eines Servers antwortet, wird dieser Code versendet, der aus einer von 65.000 Zahlen bestehen kann, um sicherzustellen, dass die Aussage wirklich von ihm stammt – und nicht etwa von einem Angreifer, der sich dazwischengeschaltet hat. "Entdeckt wurde nun, dass aus Gründen, die wir nicht nicht verraten können, diese Zahl 65.000 zu niedrig ist und wir eine Quelle brauchen, die mehr Zufallszahlen liefert."

Das neue System macht es notwendig, dass die erste Anfrage zwei zufällig generierte Identifikationszahlen enthält, statt nur eine. Beide Zahlen werden automatisch mit der Antwort des Servers zurückübermittelt. Kaminsky vergleicht das mit dem Verschicken von Post: Vor dem Patch konnte man einen Brief verschicken, der im Kuvert zwar unterschrieben war, aber keine Absenderadresse enthielt. Nach dem Patch muss jede "Post", die vom DNS-Rechner kommt, sowohl eine "Unterschrift", den Bestätigungscode, als auch eine "Absendeadresse", den Quellport der Verbindung, enthalten.

Jeff Moss, Chef von Black Hat, einer Firma, die Sicherheitskonferenzen veranstaltet und in Sachen IT-Security berät, betont die Bedeutung des Fehlers – und lobt auch das Vorgehen Kaminskys. "Ich will ihn nicht einmal danach fragen, wie viel Geld er für den Fehler bekommen hätte, wenn er sich entschlossen hätte, ihn zu verkaufen."

Kaminsky selbst ist froh, dass die Hersteller bereit waren, gemeinsam an dem Problem zu arbeiten. "Etwas von dieser Größe gab es noch nie", sagt er. "Meine Hoffnung ist, dass ein Problem dieser Art, insbesondere, wenn es ein Designfehler ist, auf diese Art auch in Zukunft gelöst werden kann." Die genauen Details des DNS-Fehlers will er im nächsten Monat nun auf der "Black Hat"-Konferenz in Las Vegas vorstellen. (bsc)