Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten

Einzelne deutsche CERTs haben rasch auf das gestern bekannt gewordene neue Angriffsszenario auf Domain Name System reagiert. Beim CERT der Universität Stuttgart (RUS-CERT) gab es heute morgen bereits eine Meldung zum Problem, zu betroffenen Systemen, Gegenmaßnahmen und den von den verschiedenen Herstellern veröffentlichten Patches. Eine lange Liste von Unternehmen, inklusive Microsoft, Cisco, Sun und ISC hatten gestern in einer konzertierten Aktion Patches für die Angriffstelle veröffentlicht, die Cache Poisoning und damit etwa Phishing-Attacken im großen Stil erlaubt.

Bislang gibt es jedoch keine detaillierten Informationen über Kaminskys Entdeckungen, auch die Berichte des US-CERT lassen offen, wie der Angriff genau funktioniert. Offenbar nutzt er eine Kombination mehrerer Probleme, die nichts mit der jeweiligen Implementierung zu tun haben sollen, sondern auf einem Designfehler im DNS selbst beruhen. In seinem Bericht führt das US-CERT dennoch weiterhin einen eingeschränkten Zahlenraum für Transaktion-IDs und deren verminderte Zufälligkeit als eine der Ursachen auf, wie es bereits Mitte des vergangenen Jahres etwa bei BIND der Fall war. Dazu kommt, dass die Produkte oftmals ein und denselben Quellport für ihre Anfragen benutzen, statt ihn dynamisch zu wechseln und Angriffe so zu erschweren.

Schließlich weist das US-CERT noch auf das eigentlich seit 2002 bekannte Problem der Birthday-Attacken auf DNS hin. Dabei provoziert der Angreifer mit zahlreichen simultanen DNS-Anfragen eines verwundbaren Resolvers mehrere offene Verbindungen und belegt damit mehrere gültige Transaktions-IDs. Laut US-CERT verringert sich die Zahl der anschließend für eine 50-prozentige Trefferchance notwendigen Pakete erheblich. Welche weiteren Tricks Kaminsky benutzt, bleibt unklar. Auf der Homepage von DoxparaResearch hat er jedoch einen Online-Test zur Verfügung gestellt, mit dem sich prüfen lässt, ob der eigene benutzte Nameserver verwundbar ist.

Anwender sollten die Patches so bald wie möglich installieren, ohne dabei in Panik zu verfallen. Denn bislang gibt es keine Anzeichen, dass die Schwachstelle bereits ausgenutzt würde. Zwar haben sich sicherlich bereits Heerscharen von Sicherheitsexperten auf die Analyse der Patches und des Domain Name Services gestürzt. Doch vielleicht kommt ein potentieller Entdecker ja auch Kaminskys Bitte nach und verzichtet auf die Veröffentlichung, um den Sachverhalt mit ihm zusammen im August auf der Black Hat zu präsentieren.

Das Problem erratbarer Transaktion-IDs, die bei DNS-Anfragen die richtige Zuordnung von DNS-Anfrage und Antwort absichern sollen, ist seit langem bekannt. Aber durch die Einführung eines höheren Zufallsfaktors sei das Angriffsszenario etwas aus der Mode gekommen, sagte Oliver Göbel, IT-Sicherheitsbeauftragter der Universität Stuttgart, gegenüber Heise Online. "Wenn man erst 32.000 Versuche machen muss, um die Transaktion-ID zu erhalten, um dann einen anfragenden Server oder Resolver mit eigenen Informationen zu beschicken, ist das unattraktiv", so Göbel. Kaminskys Methode "macht es einfacher," sagt Göbel. "Daher muss man damit rechnen, dass Cache Poisoning Angriffe wieder zunehmen. Und das ist eine unangenehme Sache."

Alle zentralen Server an der Uni Stuttgart würden heute noch mit den notwendigen Patches versehen, versicherte Göbel. Mit den Administratoren der Institute werde außerdem an der etwaigen Nachrüstung der insgesamt 33.000 Systeme der gesamten Unilandschaft gearbeitet. Das RUS-Cert habe sofort nach Bekanntwerden der Schwachstelle reagiert. Wie erfolgreich die verschiedenen Hersteller dabei waren, Rückschlüsse aus den Patches auf das Angriffszenario unmöglich zu machen, dazu konnte Göbel vorerst nichts sagen.

Auch beim deutschen DNS-Knoten DECIX hat man sofort reagiert, wie Frank Orlowski, Director Business Development, in einer Email versicherte. Nach Rücksprache mit der Technik könne er mitteilen, dass die DECIX-DNS-Server noch am Morgen mit dem von Debian zur Verfügung gestellten Patch gefixt worden seien.

Bei der de-Registrierstelle DENIC gab man sich gelassen. Man habe die Informationen über das Problem natürlich ebenfalls über verschiedene Kanäle bekommen. "Die DENIC-Nameserver für .de und ENUM sind davon allerdings nicht betroffen, da wir ja stets autoritativ antworten und nicht aus einem Cache heraus. Insofern müssen wir auch die Patches nicht einspielen," sagte DENIC-Sprecher Klaus Herzig.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versandte am heutigen Vormittag ein Rundschreiben mit entsprechenden Hinweisen an die Bundesbehörden. Im übrigen verwies man dort auf die Haltung des BSI zu DNSSEC. "Wir empfehlen das," sagte BSI-Sprecher Matthias Gärtner. Eine Einführung in DNSSEC ist auch in der c't-Ausgabe c't 14/08 auf Seite 202 zu finden. Eine Reihe der aktuellen Warnmitteilungen der einzelnen Unternehmen finden sich auf der Liste der Warnmeldungen des Cert Bund. Kurzfristig empfiehlt das BSI die Patches zu installieren

Eine endgültige Absicherung gegen die Art der Attacke bieten auch die eingespielten Patches nicht, sagt Göbel. In der Regel erhöhen sie nämlich nur die Zufälligkeit des benutzten Quellports. Unter Umständen sind diese aber schon durch andere Server-Dienste belegt. Wie die Experten bei BIND geht er davon aus, dass letztlich nur DNSSEC dem Cache-Poisening endgültig einen Riegel vorschiebt, weil dabei die Authentizität des antwortenden Servers per PKI-Schlüsselabgleich überprüft wird. Noch fehlt dafür allerdings die Infrastruktur und auch etwas der politische Wille in Bezug auf die Wahl eines vertrauenswürdigen Schlüsselwächters. (Monika Ermert)/ (dab)