Drucksache: Entwickler Magazin 3.16 - Angriffsziel DNS
Im Entwickler Magazin 3.16 ist ein Artikel über Angriffe auf das Domain Name System DNS erschienen.
Das Domain Name System (DNS) ist quasi das Telefonbuch des Internets. Niemand merkt sich IP-Adressen, stattdessen werden Domain-Namen verwendet. Die dann vom Computer in die IP-Adressen der zugehörigen Server umgewandelt werden. Indem beim zuständigen Nameserver nachgefragt wird, welche Adresse denn zu einem bestimmten Namen gehört.
Wenn der Nameserver auf diese Anfrage eine falsche Antwort zurück liefert, landen Sie auf einen Server, auf den sie nie wollten. Den sie aber für den richtigen halten, wenn die Fälschung gut genug gemacht ist. Was heutzutage ja nun wirklich kein größeres Problem mehr ist. Das einzige, was Sie dann noch vor einem Irrtum schützt, ist SSL/TLS. Theoretisch, denn wie Sie sicher wissen, gibt es immer wieder Möglichkeiten, den Schutz auszuhebeln.
Darüber hinaus gibt es noch weitere Angriffe auf und über das DNS, und 2015 gab es dabei das volle Programm: Schwachstellen in Client und Nameserver, Remote Code Execution und DoS, alles war vertreten. Zum Glück aber nur in mehr oder weniger homöopathischen Dosen, und Angriffe gab es außer den DoS-Angriffen auf BIND-Server gar nicht. Was im Endeffekt doch sehr erfreulich ist.
Auch bei den cyberkriminellen DNS-Einträgen gab es keine herausragenden Vorfälle, dafür haben die Sicherheitsforscher das DNS für ihre Zwecke genutzt. Was man ja eigentlich nur begrüßen kann.
Soweit sieht es rund ums DNS also zur Zeit recht gut aus, ganz im Gegensatz zur Situation bei SSL/TLS [22] und BGP [23]. Aber am Horizont zeichnet sich eine neue Gefahr für das DNS ab: Die inzwischen 5 Jahre alten DNSSEC-Schlüssel der Rootzone müssen erneuert werden. Und das wurde zum einen niemals zuvor gemacht, zum anderen ist der für die Verteilung der neuen öffentlichen Schlüssel zuständige RFC 5011 nicht nur ungetestet, sondern auch lückenhaft. Das könnte spannend werden. Um es mal neutral zu formulieren. Denn wenn dabei etwas schief geht, schlägt danach die Prüfung der DNSSEC-geschützten DNS-Einträge für einen mehr oder weniger großen Teil aller Internet-Nutzer fehl.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: ""DNS-Changer" - Was ist ein DNS-Changer?"
- [2] Carsten Eilers: ""DNS-Changer" - welcher DNS-Changer ist gemeint?"
- [3] Amol Sarwate; Qualys Blog: "The GHOST Vulnerability"
- [4] Carsten Eilers: "Die GHOST-Schwachstelle - Mehr Schein als Sein"
- [5] Internetwache.org: "AXFR-Scan der Alexa Top 1 Million"
- [6] Hanno Böck; Golem.de: "DNS/AXFR: Nameserver verraten Geheim-URLs"
- [7] Paul Mason, Kyle Fleming, Andrew Gill; Haxpo 2015 Amsterdam: "All Your Hostnames are Belong to Us"
- [8] US-CERT: "Alert (TA15-103A) - DNS Zone Transfer AXFR Requests May Leak Domain Information"
- [9] CVE-1999-0532
- [10] BSI; IT-Grundschutz-Kataloge: "M 4.351 Absicherung von Zonentransfers"
- [11] Lutz Donnerhacke: "DNS ist öffentlich"
- [12] Paul Vixie; Black Hat USA 2015: "Targeted Takedowns: Minimizing Collateral Damage Using Passive DNS"
- [13] Internet Systems Consortium Knowledge Base: "CVE-2015-5477: An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure"
- [14] Daniel Cid; Sucuri Blog: "BIND9 - Denial of Service Exploit in the Wild"
- [15] Project Bitfl1p
- [16] Luke Young; DEF CON 23: "Investigating the Practicality and Cost of Abusing Memory Errors with DNS" (Präsentation als PDF, Video auf YouTube)
- [17] Paul Vixie; Black Hat Europe 2015: "New (and Newly-Changed) Fully Qualified Domain Names - A View of Worldwide Changes to the Internet's DNS"
- [18] Microsoft Security Bulletin MS15-127 (Critical): "Security Update for Microsoft Windows DNS to Address Remote Code Execution"
- [19] Fermin J. Serna, Kevin Stadmeyer; Google Online Security Blog: "CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow"
- [20] fjserna: "CVE-2015-7547: Proof of concept for CVE-2015-7547" auf GitHub
- [21] Carlos O'Donell; libc-alpha Mailinglist: "[PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflow"
- [22] Carsten Eilers: "Kurze Schlüssel, große Gefahr"; PHP Magazin 5.2015
- [23] Carsten Eilers: "BGP - so gefährdet wie nie"; PHP Magazin 2.2016
- [24] CloudFlare: "How DNSSEC Works"
- [25] CloudFlare: "The DNSSEC Root Signing Ceremony"
- [26] Monika Ermert; Heise Security: "Wenn das mal gut geht: Schlüsseltausch in der Rootzone könnte heikel werden"
- [27] RFC 5011 - Automated Updates of DNS Security (DNSSEC) Trust Anchors
Trackbacks