Seite 3: Bin ich angreifbar?

Inhaltsverzeichnis

Ich bin ein Modem/ISDN/DSL-Nutzer -- bin ich angreifbar?

Ziemlich sicher nicht. Die großen Internet Provider setzen DNS-Server unter Unix ein, die derzeit nicht anfällig sind. Es gibt jedoch einige Provider, die DNS-Server unter Windows NT4 oder 2000 einsetzen und diese nicht gesichert haben könnten.

Wo kann ich testen, ob meine Site angreifbar ist?

Für einen Test haben wir ein Tool entwickelt, das versucht, den .COM-Cache-Eintrag zu vergiften (oder den für jede andere Domain). Leider haben wir bisher keinen Weg gefunden, das für einen sicheren Selbsttest bereit zu stellen. Es besteht die Gefahr, dass ein Endanwender diesen Test bei seinem Internet Provider oder seiner Firma erfolgreich durchführt und damit alle anderen Anwender beeinträchtigt, die auf denselben DNS-Server zugreifen. Wir versuchen derzeit eine weniger gefährlichen Testmethode zu entwickeln.

Bitte fragen Sie nicht nach dem Tool. Wir geben es derzeit an niemanden heraus.

Was ist DNS Cache Poisoning überhaupt?

Im Grunde ist es eine Methode für einen Angreifer, die IP-Adresse zu verändern, in die ein Hostname aufgelöst wird. www.cisco.com verweist beispielsweise auf die IP-Adresse 198.133.219.25. Mit einem DNS Cache Poisoning Angriff kann der Angreifer diesen Hostnamen auf eine andere IP-Adresse zeigen lassen.

Wenn der obige Absatz für Sie keinen Sinn ergibt, helfen vielleicht die folgenden Erklärungen. Das Domain Name System (DNS) löst einen verständlichen Namen wie www.google.com in eine IP-Adresse auf. Dies ist die Adresse unter der ein Computer im Internet zu finden ist. Ein gute Erklärung wie DNS funktioniert liefert (in Englisch):

http://computer.howstuffworks.com/dns.htm/printable

Die meisten Endanwender benutzen DNS-Server in ihrer Nähe -- bei ihrem Internet Provider oder in der Firma -- um Namen nachzuschlagen. Damit sie die nächste Anfrage für denselben Namen schneller beantworten können, speichern diese Server ihre Antworten in einem Cache. Weist die Software des DNS-Servers Fehler auf oder ist sie falsch konfiguriert, kann dies Cache Poisoning Angriffe ermöglichen (Poison englisch für Gift). Wird der Cache eines Opfers vergiftet betrifft das ALLE weiteren Nachfragen für den vergiftete Domain-Namen für ALLE Nutzer dieses DNS-Servers. Damit kann dieser Angriff tausende von Anwendern betreffen, ohne dass ein einziger irgendwas Falsches gemacht hätte.

Und so funktioniert der Angriff: Zunächst muss ein Auslöser dafür sorgen, dass der DNS-Server des Opfers den bösartigen DNS-Server befragt. Das lässt sich auf verschiedene Arten bewerkstelligen. Zum Beispiel durch eine E-Mail an eine ungültige Mail-Adresse, die eine Non-Delivery-Nachricht an die Absenderadresse erzeugt, Spam-Mail mit einem externen Bild, Anzeigen von einem anderen Server oder vielleicht sogar über bereits installierte Spyware.

Durch diesen Auslöser fragt also der DNS-Server des Opfers beim bösartigen DNS-Server nach einer IP-Adresse. In die Antwort baut der dann einige Zusatzinformationen ein. Bei den Angriffen enthielten die Antworten zusätzliche Root-Einträge für die gesamte .COM-Domain. Ist Ihr DNS-Server nicht gesichert, akzeptiert er den neuen Eintrag für .COM und löscht den Verweis auf die Verisign-Server (die tatsächlich für die .COM-Domain zuständig sind). Ab dann fragt der DNS-Server für jede .COM-Adresse bei dem bösartigen Server nach und der antwortet womit er will. In diesem Fall wurden für alle Hostnamen IP-Adressen von Web-Servern zurückgeliefert, die Schwachstellen des Internet Explorer ausnutzten, um Spyware zu installieren.

Es ist wichtig, festzuhalten, dass auf diese Art und Weise alle Top-Level-Domains wie .NET, .ORG oder .DE entführt werden könnten. Der Angreifer könnte auch alle entführen. Ein gerissener Angreifer würde sich jedoch auf einige Hostnamen beschränken und für den Rest richtige Adressen zurück liefern. Dies wäre nicht so auffällig und könnte beträchtlichen Schaden anrichten.

Warum machen die das?

Die Motivation für diese Angriffe ist sehr einfach: Geld. Das Ziel des ersten Angriffs war, Spy/Adware auf so vielen Windows-Systemen wie möglich zu installieren. Ein gutes Spy/Adware-Programm bringt dem Angreifer beträchtliche Einnahmen.

Die Leute by LURHQ haben eine gute Zusammenfassung erstellt, die das Pay-Per-Click-Konzept für Anzeigen beschreibt, das wahrscheinlich hinter der ersten und dritten Attacke steht: http://www.lurhq.com/ppc-hijack.html.

Der zweite Angriff wurde wahrscheinlich von einem bekannten Spammer initiiert. Da dies für einen Spammer jedoch ein recht komplexer Angriff ist, vermute ich im Moment, dass die eigentlichen Angreifer ihre Dienste für Geld feil bieten. Unser Beweggrund für diese detaillierte Analyse war die Tatsache, dass Angriffe mit DNS Cache Poisoning Millionen von Internet-Nutzern betreffen können und sehr gefährliche Folgeangriffe ermöglichen. Nachdem wir ein paar verlässliche Berichte erhalten hatten, war uns klar, dass wir dieser Sache auf der Grund gehen mussten,