Black Hat

Dan Kaminsky würde es wieder tun

07.08.2008
Nachdem er im Februar auf einen grundlegenden schweren Fehler im Internet-Adressdienst DNS (Domain Name System) stieß, hatte Dan Kaminsky wirklich keine leichte Zeit. Trotzdem würde er im Wiederholungsfalle wieder alles genauso machen.

Für Kaminsky, im Hauptberuf derzeit Director of Penetration Testing bei IOActive, gab es um sechs Uhr in der Früh Anrufe von finnischen Zertifikatsbehörden, allerhand harsche Worte von seinen Kollegen aus der Security-Community und sogar eine versehentlich veröffentlichte Black-Hat-Präsentation. Aber er schaffte es, die Reaktion auf einen der schwersten Internet-Fehler überhaupt zu managen, und gestern erklärte der Experte auf der Black Hat US 2008 in Las Vegas, dass er jederzeit wieder genauso vorgehen würde.

In den letzten Monaten hatte Dan Kaminsky rund um die Uhr mit Software- und Internet-Firmen daran gearbeitet, einen weit verbreiteten Fehler im DNS zu beheben, über das sich Computer im Netz untereinander finden. Erstmals öffentlich machte der Sicherheitsfachmann die von ihm entdeckte Schwachstelle dann am 8. Juli. Er rief dabei Unternehmensanwender und Internet-Dienstleister auf, ihre Software so schnell wie möglich zu patchen. 70 Prozent der Fortune-500-Firmen haben dies inzwischen erledigt, weitere 15 Prozent haben es zumindest versucht (sind aber aus unterschiedlichen technischen Gründen gescheitert).

Dan Kaminsky auf der Black Hat USA 2008
Dan Kaminsky auf der Black Hat USA 2008

Gestern machte Kaminsky in einer überfüllten Session (während der seine Großmutter selbstgebackene Kekse verteilte) auf der Black Hat weitere Details des Problems publik und zeigte eine Reihe denkbarer Angriffe auf, welche die Schwachstelle ausnutzen könnten. Gleichzeitig gewährte er Einblick in seine Arbeit am Schutz wichtige Internet-Dienste, die man mit einem Angriff ebenfalls hätte treffen können.

Kaminsky hatte einen Weg gefunden, um über verschiedene konzeptionelle Schwächen im DNS-Protokoll DNS-Server sehr schnell mit falschen Informationen zu füllen. Cyber-Kriminelle könnten dies ausnutzen, um ihre Opfer auf gefälschte Websites zu locken. Der Experte erklärte nun, der Fehler lasse sich ebenso gut missbrauchen, um E-Mails, Software-Update- oder sogar Passwort-Recovery-Systeme zu kompromittieren.

Ergänzend wies der Fachmann darauf hin, dass auch SSL-verschlüsselte Verbindungen keineswegs das erhoffte Allheilmittel gegen die DNS-Lücke seien. Und zwar einfach deswegen, weil die Aussteller von SSL-Zertifikaten für Web-Seiten ihrerseits wieder Internet-Services wie E-Mail und Web nutzten, um die Zertifikate zu validieren. "Raten Sie mal, wie sicher das angesichts eines DNS-Angriffs ist", so Kaminsky.

Neben den DNS-Anbietern hat Dan Kaminsky auch mit großen Internet-Firmen wie Google, Facebook, Yahoo! und eBay daran gearbeitet, die verschiedenen Lücken zu stopfen, die mit der Cache-Poisoning-Schwachstelle zusammenhängen. "Meine Handy-Rechnung für diesen Monat möchte ich am liebsten gar nicht sehen", scherzte der Security-Forscher.

Auch wenn manche Besucher den Vortrag von Kaminsky überbewertet fanden - aus Sicht von David Ulevitch, CEO von OpenDNS jedenfalls hat der Experte der Internet-Community einen unschätzbaren Dienst erwiesen. "Das wirklich Ausmaß dieses Angriffs muss erst noch erkannt werden", sagt Ulevitch. "Das betrifft jeden einzelnen Menschen im Netz."

Ganz reibungslos war die ganze Sache ja auch nicht gerade über die Bühne gegangen: Zwei Wochen, nachdem Kaminsky den DNS-Fehler erstmals diskutiert hatte, wurden dessen technische Details von der Sicherheitsfirma Matasano versehentlich ins Internet gepostet. Dazu kam, dass verschiedene stark frequentierte DNS-Server nicht mehr richtig funktionierten, nachdem der ursprüngliche Patch eingespielt worden war. Außerdem haben eine Reihe von Firewall-Produkten, die IP-Adressen übersetzen, versehentlich wieder einige der DNS-Änderungen rückgängig gemacht, die das Problem beseitigen.

All diesen Widrigkeiten zum Trotz ist Dan Kaminsky überzeugt, dass er das Gleiche noch einmal auf sich nehmen würde. "Hunderte von Millionen Menschen sind nun sicherer", sagte er in einem Interview im Anschluss an seinen Black-Hat-Vortrag. "Das ist alles nicht perfekt gelaufen, aber auf jeden Fall viel besser als ich erwarten durfte."