DNSSEC: Schutz vor dem großen Bug

NetzwerkeSicherheit

DNSSEC könnte all die Sicherheitsprobleme lösen, die das Domain Name System plagen. Könnte, denn der flächendeckende Einstz der Technik ist noch in weiter Ferne.

Eine zweifelhafte Entdeckerfreude: Der amerikanische IT-Sicherheitsexperte Dan Kaminsky hat einen Bug im Domain Name System (DNS) entdeckt, der Webanwendungen und Server bedroht. Kaminsky hat jetzt auf dem 25. Chaos Communication Congress neue Informationen rund um die fatale Sicherheitslücke geliefert. Die Veranstaltung wird vom Chaos Computer Club organisiert.

Laut Kaminsky sind seit der Veröffentlichung der Bug-Details und der notwendigen Patches im Sommer 2008 rund 75 Prozent aller weltweiten DNS-Server gepatcht . Was diese Zahl hinsichtlich der nunmehr vor der Kaminsky-Attacke geschützten Internet-Nutzer bedeutet, konnte der Fachmann aber nicht sagen.

Vergifteter Nameserver
Wie weitreichend der Bug bei ungesicherten DNS-Servern ausgenutzt werden kann, demonstrierte Kaminsky anhand der Password-Wiederherstellungsfunktion von Drupal, einem weit verbreiteten Open-Source-CMS (Content Management System): Die Funktion schickte den Link zur Wiederherstellung des vermeintlich vergessenen Passworts per E-Mail an den Angreifer. Dieser hatte zuvor mit einem Angriffstool, das auch die Kaminsky-Attacke beherrscht, den Cache des zuständigen Nameservers »vergiftet«. Daraufhin schickte der Drupal-Server die Nachricht nicht an den legitimen Admin des CMS.

DNS-Fachmann: Dan Kaminsky sprach auf dem Chaos Communication Congress über den von ihm entdeckten Bug im DNS (Domain Name System). (Foto: Uli Ries)

Hat der Angreifer auf diese Weise Administratorenrechte erlangt, kann er beliebigen Schadcode (PHP- oder Javascript) in die Webseiten des Opfers schleusen und auf diese Art die PCs ahnungsloser Web-Surfer mit Malware infizieren (Drive by Infection).

DNS-Bug gefährdet auch VoIP
Wie Kaminsky im Gespräch mit eWeek betont, sind vom DNS-Bug nicht nur Web-Anwendungen und E-Mail-Server betroffen. So setzen beispielsweise auch VoIP-Systeme und Datenbanken auf DNS. »DNS ist wirklich der Kern des Internets, nichts geht ohne das System«, sagt Kaminsky. Insofern ist es immens wichtig, dass jeglicher DNS-Server – sei es die Maschinen bei den ISPs, oder die eigenen Intranet-Server – mit dem seit Sommer verfügbaren Update versehen werden.

DNS hat kein Sicherheitskonzept
Das Flicken wurde notwendig, weil DNS von Haus aus keinerlei Sicherheitskonzepte hat. Das bestätigt der Vater des Domain Name Systems, Paul Mockapetris. Er sagt: »DNS hat kein schwaches Sicherheitskonzept – es gibt einfach gar kein Sicherheitskonzept. DNS wurde nicht dafür gemacht, sich gegen Angriffe zu stellen.«

Zu Beginn war DNS ohnehin schon komplex genug, so dass jegliche Sicherheitsmechanismen es noch komplizierter gemacht hätten. Daher ist Mockapetris auch nicht von der Kaminsky-Attacke überrascht.

Er vergleicht die aktuelle Lage mit einem Wirbelsturm: Nach dem ersten Aufruhr, den Kaminskys Entdeckung und die direkt folgenden Angriffsversuche verursacht haben, sind die Web-User ins Auge des Sturms gerückt. In der kommenden Phase stehen die Zeichen aber wieder auf Sturm. Mockapetris glaubt, dass Cyberkriminellen momentan keine komplexen DNS-Attacken reiten müssen, um Geld zu verdienen.

Es gibt reichlich ungepatchte Rechner in Büros und Haushalten, die mit Keyloggern infiziert werden können, um sensible Daten auszuspähen. Erst wenn dieses Feld abgegrast ist, werden sich zumindest die clevereren Internet-Gauner dem DNS zuwenden.

Patches helfen nur wenig
Für Kaminsky gibt es keine Alternative zu DNS. Eine Authentifizierung von Benutzern – wie im Fall der Drupal-Installation – oder Maschinen per PKI (Public Key Infrastructure) ist laut Kaminsky zu komplex und nicht praktikabel. Also muss DNS um geeignete Techniken erweitert werden.

Hackertreff: Der Congress des Chaos Computer Clubs findet seit Jahren in Berlin statt und feierte 2008 sein 25. Jubiläum. (Foto: Uli Ries)

Auch die Patches, die Angriffe auf den Kaminsky-Bugs verhindern sollen, tragen nur wenig zur DNS-Sicherheit bei. Laut Mockapatris kann eine Brute-Force-Attacke, eine schnelle Internetanbindung vorausgesetzt, binnen weniger Stunden auch bei gepatchten Servern zum Erfolg führen. Mehr Sicherheit war aber mit dem verfügbaren Patch nicht zu erreichen, wie Kaminsky erklärt. Denn noch umfassendere Neuerungen hätten unvermeidbare, aber gleichzeitig nicht akzeptable Kompatibilitätsprobleme zu vorhandenen Anwendungen verursacht.

DNSSEC ist die einzige Alternative
Für die DNS-Experten Kaminsky und Mockapetris ist daher DNSSEC die einzige Alternative. Diese neue DNS-Variante ist an den entscheidenden Stellen abgesichert und bietet die notwendige Sicherheit. Sowohl Kaminsky als auch Mockapetris sehen aber technische Probleme, die der flächendeckenden Verbreitung von DNSSEC entgegen stehen.

Das größte Hindernis ist die mangelnde Skalierbarkeit von DNSSEC. Solange ein massenhafter, weitgehend automatischer Betrieb von DNSSEC-Maschinen nicht möglich ist, wird sich die Technik nicht durchsetzen. Mockapetris schätzt, dass bis 2012 nur 50 Prozent aller Internet-Provider DNSSEC nutzen werden.
(Uli Ries/mt)

Weblinks
Chaos Communication Congress

Blog von Dan Kaminsky