Wenn Sie in Ihrem Browser www.deutschlandfunk.de eingeben, dann ruft ihr Rechner erst einmal quasi die Auskunft an: Er kontaktiert einen so genannten Nameserver.
"Manchmal ist es allerdings so, dass der Nameserver, den Sie jetzt als allerersten fragen, nicht weiß, welche IP-Adresse zu dem Namen gehört, den Sie ansurfen wollen. Dann wendet er sich an den nächst höheren Nameserver und fragt den: "Lieber nächst höherer Nameserver, bitte sag mir doch mal, ob Du weißt, welche IP-Adresse www.deutschlandfunk.de hat." Und auf diese Art und Weise unterhalten sich Nameserver unterschiedlicher Hierarchiestufen miteinander, und irgendwann bekommt dann der Anfrager dann tatsächlich die IP-Adresse zurück, die er angefordert hat."
Erklärt Jörg Schweiger, technischer Vorstand bei der DENIC, der zentralen Registrierungsstelle für die deutschen Domains mit der Endung ".de". Die DENIC ist dabei die oberste Hierarchiestufe, sozusagen das Originaltelefonbuch, sie gibt Auskunft, wenn sonst keiner Bescheid weiß. Aber mit dem Alltagsgeschäft dürfen die Nameserver sie nicht belästigen, das würde zu endlosen Datenstaus führen. Wann immer also ein untergeordneter Nameserver einmal eine IP-Adresse herausbekommen hat, merkt er sich die für eine Weile. Und bei allen nachfolgenden Anfragen, für populäre Namen können das Millionen am Tag sein, antwortet er postwendend aus dem Gedächtnis - aus einem Zwischenspeicher, dem Cache. Vor einigen Monaten kam Dan Kaminsky, amerikanischer Internet-Sicherheitsexperte, auf eine brillante neue Idee, wie man gefälschte Daten in diesen Cache schmuggeln könnte.
Das Grundprinzip war schon länger bekannt: Ein Angreifer tut so, als sei er die höhere Instanz, bei der ein untergeordneter Nameserver nachfragt, wenn er bei einem Namen nicht weiter weiß.
"Das Problem ist jetzt bei den neuen Angriffen, dass man unbegrenzt viele Versuche hat. Normalerweise hat man eben nur einmal einen Versuch, schneller zu sein als der Originalantwortende, und bei dem neuen Angriff ist jetzt die Kombination des Angriffs so, dass wenn es nicht geklappt hat, dann kann man einfach noch mal probieren. Und noch mal probieren. Das heißt, wenn man ein bisschen Zeit rein investiert, dann kann man in Prinzip jeden Resolver von einer falschen Antwort überzeugen. Die er sich dann auch eine ganze Weile merkt."
Erklärt Lutz Donnerhacke vom Internet-Sicherheitsdienstleister IKS in Jena. Ein erfolgreich "vergifteter" Server leitet fortan bestimmte Anfragen in die Irre: Wer dann seine Online-Bankingseite aufruft, der landet unter Umständen auf einem detailgetreuen Nachbau, der allerdings von an PINs und TANs interessierten Ganoven betrieben wird. Oder die Antivirensoftware lädt plötzlich keine Updates vom Hersteller mehr, sondern im Gegenteil direkt Viren und Trojaner. Bei all dem hat der Anwender praktisch keine Chance, das mitzubekommen oder irgendetwas dagegen zu tun. Die neue Angriffsidee ist so brisant, dass der verantwortungsvolle Entdecker Dan Kaminsky zunächst nur wenige Stellen einweihte; erzählt Christian Ebert, Security-Chef beim Provider QSC:
"Nur die Software-Hersteller sind informiert worden, also zum Beispiel Microsoft, zum Beispiel Nominum, zum Beispiel auch die Entwicklergruppe Open Source um BIND herum, die sind informiert worden, die haben alle strengstes Stillschweigen bewahrt und haben alle eine Lösung entwickelt für ihre eigene Software, und als alle fertig waren, wurde diese Lösung bekannt gegeben und dann auch erst das Problem."
Das war am 8. Juli, aber rund die Hälfte der großen Provider weltweit haben die Updates immer noch nicht installiert, von kleineren Unternehmensnetzen ganz zu schweigen. Viele Experten bezweifeln, dass Nameserver selbst mit diesen absolut dringlichen Software-Nachbesserungen wirklich sicher sein werden:
"Wir können nicht erwarten, dass das gesamte Internet in irgendeiner Form auf dem Stand von vor 25 Jahren weiterläuft, alle Sachen werden in irgendeiner Form digital unterschrieben, es werden Signaturen angefertigt, um irgendwelche wichtigen Dinge zu schützen, aber der Bereich des DNS wird davon nicht betroffen sein. Das ist vor zwölf Jahren die Erkenntnis gereift, es gibt seitdem eine Norm, die heißt DNSSEC, sicheres DNS, und die sagt: unterschreiben Sie ihre Angaben, und die kann dann auch sagen, auch der Resolver, der das dann prüfen muss, prüfe das, was da steht. Da hab ich eine digitale Signatur dran, die kann man nicht fälschen, damit ist diese gesamte Angriffssituation weg."
Sagt Lutz Donnerhacke und empfiehlt eine digitale Signatur für einige besonders gefährdete Domains wie Banken oder Antivirenhersteller als sofort machbaren Zwischenschritt. Für die große Lösung, die globale Einführung von DNSSEC, müssten alle Beteiligten an einem Strang ziehen, von der Internetverwaltung ICANN über die Zonenverwalter wie DENIC über die Provider bis hin zu Anwendern. Die Umstellung kostet Geld, bedeutet erheblichen Mehraufwand für Hardware und Administration. Aber das DNS, das Telefonbuch des Internets, muss auch in Zukunft verlässlich funktionieren.
"Manchmal ist es allerdings so, dass der Nameserver, den Sie jetzt als allerersten fragen, nicht weiß, welche IP-Adresse zu dem Namen gehört, den Sie ansurfen wollen. Dann wendet er sich an den nächst höheren Nameserver und fragt den: "Lieber nächst höherer Nameserver, bitte sag mir doch mal, ob Du weißt, welche IP-Adresse www.deutschlandfunk.de hat." Und auf diese Art und Weise unterhalten sich Nameserver unterschiedlicher Hierarchiestufen miteinander, und irgendwann bekommt dann der Anfrager dann tatsächlich die IP-Adresse zurück, die er angefordert hat."
Erklärt Jörg Schweiger, technischer Vorstand bei der DENIC, der zentralen Registrierungsstelle für die deutschen Domains mit der Endung ".de". Die DENIC ist dabei die oberste Hierarchiestufe, sozusagen das Originaltelefonbuch, sie gibt Auskunft, wenn sonst keiner Bescheid weiß. Aber mit dem Alltagsgeschäft dürfen die Nameserver sie nicht belästigen, das würde zu endlosen Datenstaus führen. Wann immer also ein untergeordneter Nameserver einmal eine IP-Adresse herausbekommen hat, merkt er sich die für eine Weile. Und bei allen nachfolgenden Anfragen, für populäre Namen können das Millionen am Tag sein, antwortet er postwendend aus dem Gedächtnis - aus einem Zwischenspeicher, dem Cache. Vor einigen Monaten kam Dan Kaminsky, amerikanischer Internet-Sicherheitsexperte, auf eine brillante neue Idee, wie man gefälschte Daten in diesen Cache schmuggeln könnte.
Das Grundprinzip war schon länger bekannt: Ein Angreifer tut so, als sei er die höhere Instanz, bei der ein untergeordneter Nameserver nachfragt, wenn er bei einem Namen nicht weiter weiß.
"Das Problem ist jetzt bei den neuen Angriffen, dass man unbegrenzt viele Versuche hat. Normalerweise hat man eben nur einmal einen Versuch, schneller zu sein als der Originalantwortende, und bei dem neuen Angriff ist jetzt die Kombination des Angriffs so, dass wenn es nicht geklappt hat, dann kann man einfach noch mal probieren. Und noch mal probieren. Das heißt, wenn man ein bisschen Zeit rein investiert, dann kann man in Prinzip jeden Resolver von einer falschen Antwort überzeugen. Die er sich dann auch eine ganze Weile merkt."
Erklärt Lutz Donnerhacke vom Internet-Sicherheitsdienstleister IKS in Jena. Ein erfolgreich "vergifteter" Server leitet fortan bestimmte Anfragen in die Irre: Wer dann seine Online-Bankingseite aufruft, der landet unter Umständen auf einem detailgetreuen Nachbau, der allerdings von an PINs und TANs interessierten Ganoven betrieben wird. Oder die Antivirensoftware lädt plötzlich keine Updates vom Hersteller mehr, sondern im Gegenteil direkt Viren und Trojaner. Bei all dem hat der Anwender praktisch keine Chance, das mitzubekommen oder irgendetwas dagegen zu tun. Die neue Angriffsidee ist so brisant, dass der verantwortungsvolle Entdecker Dan Kaminsky zunächst nur wenige Stellen einweihte; erzählt Christian Ebert, Security-Chef beim Provider QSC:
"Nur die Software-Hersteller sind informiert worden, also zum Beispiel Microsoft, zum Beispiel Nominum, zum Beispiel auch die Entwicklergruppe Open Source um BIND herum, die sind informiert worden, die haben alle strengstes Stillschweigen bewahrt und haben alle eine Lösung entwickelt für ihre eigene Software, und als alle fertig waren, wurde diese Lösung bekannt gegeben und dann auch erst das Problem."
Das war am 8. Juli, aber rund die Hälfte der großen Provider weltweit haben die Updates immer noch nicht installiert, von kleineren Unternehmensnetzen ganz zu schweigen. Viele Experten bezweifeln, dass Nameserver selbst mit diesen absolut dringlichen Software-Nachbesserungen wirklich sicher sein werden:
"Wir können nicht erwarten, dass das gesamte Internet in irgendeiner Form auf dem Stand von vor 25 Jahren weiterläuft, alle Sachen werden in irgendeiner Form digital unterschrieben, es werden Signaturen angefertigt, um irgendwelche wichtigen Dinge zu schützen, aber der Bereich des DNS wird davon nicht betroffen sein. Das ist vor zwölf Jahren die Erkenntnis gereift, es gibt seitdem eine Norm, die heißt DNSSEC, sicheres DNS, und die sagt: unterschreiben Sie ihre Angaben, und die kann dann auch sagen, auch der Resolver, der das dann prüfen muss, prüfe das, was da steht. Da hab ich eine digitale Signatur dran, die kann man nicht fälschen, damit ist diese gesamte Angriffssituation weg."
Sagt Lutz Donnerhacke und empfiehlt eine digitale Signatur für einige besonders gefährdete Domains wie Banken oder Antivirenhersteller als sofort machbaren Zwischenschritt. Für die große Lösung, die globale Einführung von DNSSEC, müssten alle Beteiligten an einem Strang ziehen, von der Internetverwaltung ICANN über die Zonenverwalter wie DENIC über die Provider bis hin zu Anwendern. Die Umstellung kostet Geld, bedeutet erheblichen Mehraufwand für Hardware und Administration. Aber das DNS, das Telefonbuch des Internets, muss auch in Zukunft verlässlich funktionieren.