DNS-Sicherheitsproblem gefährdet Internet
Das US-CERT und andere Sicherheitsexperten warnen vor einem Sicherheitsproblem, von dem alle DNS-Implementierungen betroffen sind. Der Domain Name Server (DNS) wandelt lesbare Namen wie www.tariftip.de in IP-Adressen um, die aus Ziffernkombinationen bestehen.
Viele Systeme speichern die Ergebnisse der Umwandlungen für eine bestimmte Zeit in einem Cache. So muss die Namensauflösung nicht für jede Netzwerkverbindung jedes Mal neu erfolgen. Gelänge es einem Hacker, in einen solchen Cache falsche IP-Adressen einzuschleusen, könnte er damit Netzwerkverbindungen so umleiten, dass sie auf von ihm kontrollierten Systemen landen (Phishing). So könnte man Passwörter, Kreditkartendaten oder auch Zugangsdaten zum Online-Banking klauen, warnt der Internetdienst www.heise.de.
Im Prinzip ist es möglich, Antworten auf Anfragen des DNS zu fälschen. Aktuelle Systeme erkennen dieses Problem und nutzen deshalb eine zufällig gewählte 16-bittige Transaktions-ID. Ist diese ID in der Antwort enthalten, so ist sicher, dass sie vom richtigen Server kommt. So bleibt die Gefahr eines Betrugs relativ klein. Der Sicherheitsexperte Dan Kaminsky hat eine Methode entdeckt, "Cache-Poisoning" trotzdem einzusetzen. Betroffen sind fast alle namhaften Hersteller einschließlich ISC, dessen BIND der meisteingesetzte Server ist, Cisco und Microsoft.
Die Hersteller haben nun eine aktualisierte Version ihrer Software entwickelt und diese gemeinsam veröffentlicht. Deshalb sollten alle Betreiber von DNS-Servern, die auch als Cache arbeiten, sich so schnell wie möglich beim Hersteller über empfehlenswerte Schutzmaßnahmen informieren. Dass die Hersteller in diesem Fall kooperativ arbeiten, deutet nach Ansicht von heise auf ein ernst zu nehmendes Problem hin, das bald gelöst werden sollte.
Viele Systeme speichern die Ergebnisse der Umwandlungen für eine bestimmte Zeit in einem Cache. So muss die Namensauflösung nicht für jede Netzwerkverbindung jedes Mal neu erfolgen. Gelänge es einem Hacker, in einen solchen Cache falsche IP-Adressen einzuschleusen, könnte er damit Netzwerkverbindungen so umleiten, dass sie auf von ihm kontrollierten Systemen landen (Phishing). So könnte man Passwörter, Kreditkartendaten oder auch Zugangsdaten zum Online-Banking klauen, warnt der Internetdienst www.heise.de.
Im Prinzip ist es möglich, Antworten auf Anfragen des DNS zu fälschen. Aktuelle Systeme erkennen dieses Problem und nutzen deshalb eine zufällig gewählte 16-bittige Transaktions-ID. Ist diese ID in der Antwort enthalten, so ist sicher, dass sie vom richtigen Server kommt. So bleibt die Gefahr eines Betrugs relativ klein. Der Sicherheitsexperte Dan Kaminsky hat eine Methode entdeckt, "Cache-Poisoning" trotzdem einzusetzen. Betroffen sind fast alle namhaften Hersteller einschließlich ISC, dessen BIND der meisteingesetzte Server ist, Cisco und Microsoft.
Die Hersteller haben nun eine aktualisierte Version ihrer Software entwickelt und diese gemeinsam veröffentlicht. Deshalb sollten alle Betreiber von DNS-Servern, die auch als Cache arbeiten, sich so schnell wie möglich beim Hersteller über empfehlenswerte Schutzmaßnahmen informieren. Dass die Hersteller in diesem Fall kooperativ arbeiten, deutet nach Ansicht von heise auf ein ernst zu nehmendes Problem hin, das bald gelöst werden sollte.