Rund um die Uhr hatte Dan Kaminsky vom Security-Spezialisten IOActive in den letzten Monaten mit Software- und Internet-Firmen daran gearbeitet, die von ihm entdeckte Designschwäche im Internet-Adressdienst Domain Name System (DNS) zu beheben. Öffentlich machte der Sicherheitsfachmann das Leck dann am 8. Juli und appellierte dabei an Unternehmen und Internet-Dienstleister, ihre Software schnellstmöglich zu patchen. 70 Prozent der Fortune-500-Firmen haben dies inzwischen erledigt, weitere 15 Prozent haben es versucht - sind aber aus technischen Gründen gescheitert.
Nicht nur Phishing
Die letzten Details des Problems machte Kaminsky nun auf der Black Hat in Las Vegas publik, wo er eine Reihe denkbarer Angriffe aufzeigte, die die Schwachstelle ausnutzen.
Der Sicherheitsforscher hatte einen Weg gefunden, DNS-Server über verschiedene konzeptionelle Schwächen im DNS-Protokoll sehr schnell mit falschen Informationen zu füllen (DNS-Cache-Poisoning). Cyber-Kriminelle könnten dies ausnutzen, um ihre Opfer im großen Stil auf gefälschte Websites zu leiten. Der Fehler lässt sich aber ebenso gut missbrauchen, um E-Mails, Software-Update- oder sogar Passwort-Recovery-Systeme zu kompromittieren, warnte der Experte. Auch SSL-verschlüsselte Verbindungen seien keineswegs das erhoffte Allheilmittel gegen die DNS-Lücke - und zwar schlicht deswegen nicht, weil die Aussteller von SSL-Zertifikaten für Web-Seiten ihrerseits Internet-Services wie E-Mail und das Web nutzten, um die Zertifikate zu validieren.
Selbst wenn mancher Besucher den Vortrag von Kaminsky als überbewertet erachtete - zumindest aus Sicht von David Ulevitch, CEO von OpenDNS, hat der Experte der Internet-Community einen unschätzbaren Dienst erwiesen. "Das wirkliche Ausmaß dieses Angriffs muss erst noch erkannt werden", meint Ulevitch. "Das betrifft jeden einzelnen Menschen im Netz."
Ganz reibungslos war die Sache nicht über die Bühne gegangen: Zwei Wochen, nachdem Kaminsky den DNS-Fehler erstmals diskutiert hatte, wurden dessen technische Details von der Sicherheitsfirma Matasano versehentlich ins Internet gepostet und kurz darauf entsprechender Exploit-Code veröffentlicht. Hinzu kam, dass verschiedene stark frequentierte DNS-Server nicht mehr richtig funktionierten, nachdem der ursprüngliche Patch eingespielt worden war. Darüber hinaus haben eine Reihe von Firewall-Produkten, die IP-Adressen übersetzen, versehentlich einige der DNS-Änderungen wieder rückgängig gemacht, die das Problem beseitigen. (tc/kf)