Sicherungskette
ICANN drängt auf DNSSEC gegen Domain-Hijacking
Die unter dem Namen DNSpionage bekannt gewordenen Attacken auf Länder und Firmen im Nahen Osten zogen viel Aufmerksamkeit auf sich. Seitdem fordert die ICANN dringend dazu auf, DNSSEC flächendeckend einzusetzen. Paradoxerweise kann die Technik selbst dann helfen, wenn die Angreifer sie in der angegriffenen Domain abschalten.
Seit mindestens Februar 2017 haben Angreifer, die laut Sicherheitsfirmen vermutlich im Iran operieren, IP-Verkehr von zahlreichen Nutzern auf ihre eigenen, unter falscher Flagge segelnden Server umgelenkt (Domain-Hijacking) und so Passwörter von VPN- und Mail-Nutzern abgegriffen. Betroffen waren bisher mehr als 50 Institutionen und Firmen in zwölf Ländern. Microsoft zufolge könnten sogar 200 Ziele attackiert worden sein.
Die hochkomplexe, mehrstufige Angriffstechnik haben wir kürzlich beschrieben [1]. Solche Attacken sind schwer aufzudecken und sie lassen sich natürlich auch auf andere Ziele anwenden. Das ruft unter anderem die Internet Corporation for Assigned Names and Numbers auf den Plan (ICANN). Die Organisation empfiehlt den unter ihrem Dach organisierten Registries, Registraren und Domainanbietern dringend, DNSSEC als Gegenmittel einzusetzen – also Domains zu signieren und DNS-Resolver zu verwenden, die diese Signaturen zur Prüfung von DNS-Antworten verwenden.
