22. April 2008
Posted in Internet News

Der Sicherheitsexperte Dan Kaminsky von IOActive hat in der vergangenen Woche ein beträchtliches Sicherheitsloch entdeckt und vorläufig schließen können. Doch aufgrund der Geldgier insbesondere der US-Provider ist es nur eine Frage der Zeit, bis das Problem sich wieder einstellt.

Es geht dabei um eine ähnliche DNS-Manipulation, wie sie bereits vor etlichen Jahren für Schlagzeilen sorgte. Damals, im Jahr 2003, hatte VeriSign als Registry der CNO-Domains einen "Suchdienst" eingeführt, der Domain-Vertipper auffangen sollte. Gab ein Benutzer beispielsweise eine nicht konnektierte .com Domain im Browser ein, landete er auf einer Sitefinder-Seite.

VeriSigns Motiv war es, über diese Stellvertreter-Seiten Werbeeinnahmen zu produzieren. Die Kritik an diesem Plan war aber so groß, dass VeriSign das Vorhaben noch im gleichen Jahr einstellte. Im Jahr 2005 wurde sogar eine vertragliche Vereinbarung zu diesem Dienst getroffen, die weitere Barrieren für eine Wiederbelebung des Dienstes errichtete.

Doch der SiteFinder scheint die Provider auf weitere Ideen zur "Monetisierung" des Domain Name System gebracht zu haben. So werden Earthlink-Kunden nicht existierende HTTP-Requests auf nicht existierende Subdomains bestehender Domains auf eine IP umgelenkt, die wiederum unter Kontrolle des britischen Werbeunternehmens Barefruit steht.

Gibt also jemand beispielsweise wwww.google.com (mit 4 "w") ein, so landete er bei einer Anzeige von Barefruit. Zumindest, solange die Barefruit-Server im Sinne des Unternehmens reagierten. Da aber das Werbeunternehmen es mit der Sicherheit nicht so genau nahm, konnte Kaminsky Zugriff auf einen Server Barefruits nehmen und dessen Funktionen manipulieren.

Um das zu demonstrieren, ließ er vom Barefruit-Server YouTube-Videos verbreiten, die dem Anschein nach bei Facebook oder Paypal veröffentlicht wurden. Einem echten Angreifer wäre es aber möglich gewesen, Phishing-Mails als Spam zu verschicken, die zum Besuch etwa von money.paypal.com auffordern. Jedem arglosen Besucher wäre dann unter dieser Domain vom manipulierten Barefruit-Server ein Login präsentiert worden, das scheinbar zu dem Zahlungssystem führt.

Kaminsky informierte Earthlink über das Problem, was zu sofortigen Maßnahmen führte. Doch das grundlegende Problem wurde dadurch nicht beseitigt: Der Eingriff der Provider in das DNS zur Erzielung von Werbeinnahmen. Diese Praxis geschieht zwar wie im Fall Network Solutions gezeigt wurde, zumindest in einigen Fällen mit Zustimmung der Domain-Inhaber.

Doch im Fall Earthlink kann man nicht von einer solchen Zustimmung ausgehen. Wobei die Zustimmung im Fall von Network Solutions auch schon als fragwürdig zu bezeichnen ist. Denn was ist eine Zustimmung schon wert, die in einem 80 DIN A4-Seiten umfassenden Service Agreement versteckt wird?

Links:

• Posting bei Wired
  
• Wikipedia: Sitefinder