Die Schwachstelle(n) im Domain Name Server [DNS]-System
Es ist schon hochinteressant, ein Fachmann hat eine Schwachstelle entdeckt und dann getan was üblich ist. Er hat den oder die Betroffenen gewarnt, die Warnungen wurden nicht oder nur halbherzig angenommen, es wurden Exploits entwickelt um die Wirksamkeit der Angriffsmethode zu zeigen und nun können sogar die Script-Kiddies den DNS-Server außer Kraft setzen.
Ein Exploit ist übrigens ein Developement-Kit für die eigentliche Angriffssoftware, also Beschreibung und eine Rumpfsoftware, die den Angriff ausführt. Und nun wird die Sache langsam kritisch.
Allgemeines zu den DNS-Rebind-Angriffen
Das Problem ist hier beschrieben als dns rebinding allerdings eben in akzentfreiem Englisch. Ein DN-Server übersetzt eine Domain in eine Internetadresse. So hat zum Beispiel die Postbank mit der URL postbank.de die Internetadresse oder auch die IP 213.61.167.217. Ein Angriff ermöglicht das Austauschen der IP und bringt den Browser dazu, seine Daten nicht über den Rechner der Postbank abzurufen, sondern über irgend einen anderen beliebigen Rechner im Internet. Diese IP-Änderung ermöglicht einfache Man in the Middle Atacken die in Wikipedia recht gut beschrieben sind.
Ggf. werde ich auch etwas schreiben über die Art und Weise der Angriffe, doch das ist mehr als nur ein Beitrag eben weil hier unterschiedliche Angriffsformen und Angriffsziele möglich sind. Einen guten ersten deutschsprachigen Überblick hat man zum Beispiel hier
Hier möchte ich nur folgende Fragen erörtern:
- Wie kann man erkennen, ob man als einfacher Surfer im Internet gefährdet ist?
- Welche Form der Abhilfe gibt es
Wie kann man erkennen ob der Browser dns rebind gefährdet ist?
Hier hat das BSI einen Beitrag geschrieben – und auch auf eine entsprechende Seite verlinkt – mit der ein kleiner Test ausgeführt werden kann.
Auf dns-oarc wird die Verteilung berechnet für den gewählten Source-Port und die gewählte Transaction-ID und ermittelt, ob diese “zufällig genug” ist, also ob diese in absehbarer Zeit erraten werden kann oder nicht.
Wenn Sie bei einem der Tests im roten Bereich liegen, dann sind Sie gefährdet.
Welche Form der Abhilfe gibt es bei dns rebind Angriffen?
Zunächst einmal ist es nicht Ihre Aufgabe, hier Abhilfe zu schaffen, es ist die Aufgabe Ihres Providers. Genau der bietet Ihnen nämlich bei der Einwahl seinen Namensserver an und eben dieser Server wird angegriffen.
Abhilfe 1: Beschweren beim Provider und Verzicht auf kritische Aktionen im Netz wie zum Beispiel das Homebanking! Dabei wäre nach meinem Rechtsempfinden auch eine Zahlungseinstellung sinnvoll, denn der Zugang ist ohne zuverlässigen DN-Server im Grunde unbrauchbar.
Ungeachtet dieser Regelung kann man davon unabhängig durchaus auch eine eigene “lokale Nameserverlösung” implementieren.
Ein behelfsmäßiger Nameserver …
Abhilfe 2: Ein eigenener Nameserver – lokal auf dem PC
Nehmen wir an, sie haben Windows 2000 installiert haben. Dann gibt es unter “Programme – Zubehör” eine Dialogbox mit der Sie eine DOS-Eingabeaufforderung absenden können. Der Befehl dazu heißt “Eingabeaufforderung” und es öffnet sich eine von Dos-Zeiten bekannte Dialogbox. Bei den anderen Betriebssystemen ist der Befehl woanders platziert aber er dürfte zu finden sein. Falls sie ihn nicht finden, können Sie auch unter “Ausführen” den Befehl “cmd” eingegeben.
In eine solche Dialogbox können Sie nun einen Befehl eingeben der Form “ping postbank.de” wie in der Darstellung gezeigt wird. Dieser Ping hat zur Folge, dass Sie die IP der Postbank erfahren. Es ist die 213.61.167.217. Die weiteren Fehlermeldungen treten übrigens bei Ihnen nicht auf. Meine Firewall erlaubt Pings nur da, wo ich sie brauche.
Folge: Sie wissen nun konkret für die Postbank mit der URL postbank.de die IP 213.61.167.217. Das bedeutet: Wenn Sie geprüft haben, dass ihr DN-Server gefährdet ist, dann wissen sie das eigentlich nicht. Deshalb wechseln Sie zu einer Seite wie dnsStuff.com und geben dort die IP ein. Dort erfahren Sie über whois, dass Sie eine IP der Postbank vorliegen haben.
Sie haben also nun aktiv den Nameservereintrag ermittelt und sogar geprüft. Nun müssen Sie diesen Eintrag noch eingeben.
Dazu sollten Sie im Verzeichnis WINNT die Datei “hosts” suchen. Diese Datei hat keine Extension. Sie heißt einfach hosts. Bei Windows 2000 liegt diese im Verzeichnis c:\winnt\system32\drivers\etc, bei anderen Systemen kann man diese ggf. leicht mit der Dateisuche finden. Diese Datei enthält einige mit # beginnende Kommentarzeilen und dann die Zeile “127.0.0.1 localhost”. Diese Datei ist für Ihren Windows-Rechner das primäre und verbindliche Erst-DNS. Wenn hier ein Eintrag hinterlegt wird, wird dieser verwendet. Das können Sie prüfen. Geben Sie unterhalb der Zeile mit localhost ein “1.2.3.4 postbank.de”, speichern Sie die Datei und pingen Sie postbank.de wieder an. Dann werden Sie feststellen, dass der Postbank-Rechner nun unter 1.2.3.4 vermutet wird.
Sie ahnen richtig. Mit dieser Datei kann man beliebig viel Unfug anrichten aber man kann auch die wirklich kritischen IPs einfach einmal eintragen. Mit der Zeile “213.61.167.217 postbank.de” wird immer auf den Bankrechner zugegriffen und nirgendwo anders mehr. Sie müssen nur bei ggf. fälligen Änderungen und Updates alles nachziehen.
Bei der Gelegenheit denken Sie an alles, was automatisch updatet:
- Alle Banken mit denen man zu tun hat
- Microsoft mit dem regelmäßigen Update
- Firefox (macht man das Update automatisch?)
- Thunderbird (macht man das Update automatisch?)
Ein fremder Nameserver …
Abhilfe 3: Der Nameserver von jemand anderem …
Im Normalfall wird bei der Einwahl über Analog, ISDN oder DSL der Nameserver des Providers zugewiesen. Diesen Nameserver kann man austauschen.
Öffnet man den Eigenschaften-Dialog für die TCP-IP-Verbindung:
und gibt dort eben den neuen Nameserver ein:
Dann braucht man nur noch eine Auflistung von potenziellen Namensservern.
Dabei sollte man diese Server allerdings auf der Seite dns-oarc noch überprüfen.
Einen bislang wohl noch nicht allgemein akzeptierten Sicherheitsstandard hat die IKS-jena.de herausgegeben. Aber auch das wäre ggf. in einem weiteren Beitrag im Detail zu erläutern.