Freitag, 08.08.2008 15:16

Beinahe-Internet-GAU: Was hätte passieren können

aus dem Bereich Sonstiges
Die Rede von Dan Kaminsky war unruhig erwartet worden. Der Entdecker des Beinahe-Internet-GAUs hatte in den vergangenen Wochen alle Hände voll zu tun, bei diversen Providern und Software-Häusern das Ruder der Sicherheitsabteilung zu übernehmen. Auf der "Black Hat", einer Konferenz für technische Sicherheit in Las Vegas, konnte Kaminsky erstmals über die Hintergründe einer im letzten Moment abgewendeten Katastrophe berichten.

Anzeige
Globales Phishing-Netz verhindert

Die Sicherheitslücke, die er während eines zufälligen Tests an seinem Arbeitsplatz bei IOActive entdeckt hatte, lag im weltweiten Herzstück des Internets, dem Domain Name System (DNS). Hier werden die lesbaren Domain-Namen (wie "onlinekosten.de") per Umleitung über eine IP-Adresse mit den dahinterstehenden Internetseiten verbunden. Und genau diese Umleitung zeigte brüchige Stellen. Wäre ein Hacker auf den Fehler aufmerksam geworden, wäre es möglich gewesen, Domain-Namen mit beliebigen Websites zu verbinden: dem Internet hätte gedroht, zum globalen Phishing-Netz zu werden.

Die Gefahr ist vorüber

Mittlerweile haben die meisten Internet-Serviceprovider entsprechende Patches in die Systeme eingespielt – auch die großen Entwickler von Betriebssystemen haben mit Aktualisierungen reagiert: der einzige Grund, weshalb Kaminsky auf der diesjährigen Konferenz zum Thema sprechen durfte. Und was er vom Podium aus zu verkünden hatte, führte im Nachhinein noch einmal vor Auge, was alles hätte passieren können.

Wie der US-amerikanische Branchendienst "Computerworld" berichtet, sei Kaminsky zufolge die unentdeckte Weiterleitung auf eine präparierte Website noch ein mildes Szenario gewesen. Wäre der Fehler richtig instrumentalisiert worden, hätte problemlos in den E-Mail-Verkehr eingegriffen werden können. Auch die Update-Funktion von Programmen und Dienste zum Wiederherstellen verlorener Passwörter – zum Beispiel jene von Social Communities – seien höchst gefährdet gewesen. In letztem Fall hätten Kriminelle per Knopfdruck den Versand des Passworts veranlassen und die Mail per DNS-Hack auf ihr eigenes System umleiten können.

SSL ist nicht sicher

Selbst das Protokoll zur verschlüsselten Datenübertragung, SSL (Secure Socket Layer), das alle Welt für bombensicher hielt, hätte gegen eine Attacke nichts ausrichten können: Vor versammeltem Publikum zeigte Kaminsky, wie SSL-Zertifikate, welche die Echtheit einer Seite bescheinigen, durch einen DNS-Angriff überlistet werden können. Das Problem sei, dass die Entwickler von SSL-Zertifikaten sich nach wie vor auf Dienste wie E-Mail und das Web verlassen: "SSL ist nicht das Allheilmittel, wie wir es gerne sehen würden", zitiert "Computerworld" den Techniker.
André Vatter
Kommentieren (Neuen Kommentar verfassen):
 Wurde doch schon min. einmal erfolgreich durchgeführt (4 Beiträge) 
    Zuletzt kommentiert von studir am 16.08.2008 um 12:35 Uhr
 Suche

Provider Wechsel
DSL Speed Test gemacht und nun unzufrieden mit der DSL Leistung?
Jetzt Kosten für den DSL Anschluss senken und neuen Telefonanbieter suchen.
Günstige Angebote der wichtigsten Internet Provider auch inklusive DSL Modem in der Übersicht.
Whois
Suchen Sie eine eingängige Domain für ihre Website und die Wunschadresse scheint schon belegt?
Einfach mit Whois den Check machen und herausfinden, zu wem die URL und IP Adresse gehört. Auch die DENIC kann oft Auskunft geben.
Vielleicht ist ein Reseller beteiligt und verkauft preisgünstig.
Neue Handy-Modelle
Moderne Smartphones werden immer beliebter. Viele Hersteller versuchen dabei dem Erfolg des Apple iPhone nachzueifern. Ein Touchscreen Handy ist heute bereits nichts außergewöhnliches mehr.
Im Gegenzug sinken die Preise für klassische Geräte wie ein Klapphandy oder schlichte Slider-Modelle. Neue Handys stellen wir regelmäßig vor.
© 1999-2012 onlinekosten.de GmbH :: Datenschutz :: Impressum :: Presse :: Jobs