Der Retter des Internets

Dan Kaminsky ist als IT-Berater stets Sicherheitslücken im Internet auf der Spur. Doch seine erschreckendste Entdeckung machte er eher nebenbei: Bei der Suche nach einem besseren Übertragungsweg für Filme stieß er Anfang 2008 auf einen Fehler mitten im Herzen des Internets – nämlich im Domain Name System (DNS).

Das DNS besteht aus Servern, die Web-Adressen wie www.heise.de in nummerische IP-Adressen wie 193.99.144.85 übersetzen. Damit das DNS nicht ständig von Anfragen überhäuft wird, speichern die anfragenden Server die DNS-Auskünfte für einige Sekunden oder auch einige Tage. Genau hier entdeckte Kaminsky ein riesiges Einfallstor für Manipulationen: Wenn man diese Zwischenspeicherung unterbindet, sodass sich der Server bei jeder Anfrage eine neue DNS-Auskunft einholen muss, bekommt ein Angreifer fast unbegrenzt viele Versuche, eine gefälschte Antwort unterzubringen (siehe Kasten). Auf diese Weise könnten sie Surfer zu jeder beliebigen eigenen Webseite umleiten – und ihnen beispielsweise eine gefälschte Bank-Homepage unterschieben und damit sensible Zugangsdaten abgreifen. „Als ich sah, dass es funktionierte, drehte sich mir der Magen um“, berichtet Kaminsky. „Ich dachte: ,Was zum Teufel fange ich damit an? Das betrifft alles.‘“

Was also tun? Kaminsky rief unter Vermeidung jeder Öffentlichkeit die wichtigsten DNS-Experten der Welt zusammen... (kd)