DNS - Sicherheitslücke

[fat-lobyte]

Hallo!

Ist zwar nicht wirklch "Real Life", aber in ermangelung eines passenderen Forums poste ich hier.

Habt ihr schon von der DNS - Sicherheitslücke gehört? Falls nicht, fasse ich mal kurz zusammen.

DNS steht für "Domain Name Service", und ist das Protokoll dass dafür verantwortlich ist, dass wenn ihr forum.proggen.org eingebt die Menschenlesbare Adresse in eine Maschinenlesbare Adresse umgewandelt wird. Dies ist im moment 85.131.186.43.

Dies funktioniert, indem ein Netz von DNS servern miteinander kommuniziert, und Speichert wer wo zu finden ist (das nennt man Cache).

Stellt euch ein Szenario vor:
Ihr surft auf http://www.proggen.org, tippt das Passowrt ein und denkt euch nichts weiter. Ihr loggt euch ein, doch irgendwas kommt euch komisch vor... Die seite ist zwar ähnlich aber nicht genau gleich wie früher. In Wirklichkeit habt ihr euch aber nicht auf dem proggen.org server eingeloggt, sondern an einem ganz anderen! Dieser hat nun eure email adresse und euer Passwort!
Wenn es nur auf der Forumsseite passiert, ist das ja kein Problem. Aber was, wenn es ebay accounts sind? Netbanking? Könnt ihr euch das ausmalen? Die Folgen wären katastrophal.

Tjo, und jetzt gehts mit der Geschichte los:
Ein "Sicherheitsforscher", Dan Kaminsky hat vor ein paar Monaten behauptet eine gravierende Sicherheitslücke im DNS System entdeckt zu haben, die große Schwierigkeiten bereiten könnte. Er hat Gespräche mit mehreren Softwareherstellern geführt, dass ein Patch so schnell wie möglich veröffentlicht wird. Die Lücke selbst allerdings wollte er geheimhalten, bis zu einer großen sicherheitskonferenz. [1]

Ein Sicherheitsblogger, der sich halvar.flake nennt kritisierte Dan Kaminsky dafür, eine solche Lücke nicht zu veröffentlichen, sondern geheim zu halten. Er versuchte ungefähr herauszufinden, was das Problem sein könnte. [2]

Er war damit anscheinend Erfolgreich, denn ein paar Tage später veröffentlichten ein Typ mit dem Pseudonym "|)ruid" und H.D. Moore einen Exploit (Detaillierte Anweisungen, wie so ein Angriff durchzuführen wäre). [3]

Dies hat für große Furore gesorgt. Mit diesem Hack ist nämlich das Schreckensszenario, das oben beschrieben wurde wahrheit geworden, denn es sind (waren?) fast 2/3 aller DNS server betroffen.


Jetzt wollte ich mal zur Diskussion stellen, wie ihr das ganze findet?
Findet ihr, Dan Kaminsky hat richtig gehandelt die Lücke zu verschweigen? Hätte Halvar Flake wirklich nachbohren sollen?
Hätten |)ruid und H.D. Moore das tun dürfen? Sollten sie dafür bestraft werden?
Wer ist überhaupt "Schuld" an dem ganzen Schlamassel? Wie hättet ihr gehandelt?

So, und nun schreibt mal, was ihr davon so haltet!

[Kerli]

Also ich finde wenn so eine Lücke entdeckt wird, dann ist es immer gefährlich wenn dieses Wissen an die falschen Leute gerät. Ich denke dabei vor allem an Leute die zum Beispiel die erwähnte Netbanking Homepage umleiten. Andererseits wenn sich mehr Leute damit beschäftigen, dann ist es sehr wahrscheinlich, dass der Fehler schneller gefunden wird.
In so einem Fall müsste man eigentlich sicherheitskritische Anwendungen solange deaktivieren bis die Sicherheitslücke geschlossen ist, was aber vor allem aus wirtschaftlichen Gründen nicht oder nur sehr schwer möglich sein wird.

Das Dan Kaminsky die Lücke verschwiegen hat zeugt davon wie kritisch diese Lücke ist, aber er hätte sie trotzdem veröffentlichen sollen, damit sich mehr Leute damit beschäftigen können und die Lücke schneller geschlossen werden kann. Bei Sicherheitslücken ist es immer schwierig zu sagen wie man damit umgehen soll, aber ich finde es eigentlich ganz gut, dass |)ruid und H.D. Moore richtig gehandelt haben, da sie so die betroffenen Personen/Firmen gezwungen haben schnell zu handeln.

[Metamorph]

="Kerli"|)ruid und H.D. Moore richtig gehandelt haben, da sie so die betroffenen Personen/Firmen gezwungen haben schnell zu handeln.

Dem stimme ich zu. Oft werden grobe Sicherheitslücken einfach ignoriert, obwohl die Betreiber wissen, dass diese vorhanden sind. Beispiel Cross-site-scripting (XSS).
Ich finde es grundsätzlich nicht schlimm, Sicherheitslücken zu veröffentlichen. Dadurch werden die Hersteller eher aufgefordert, die Lücken zu schließen. Es passiert manchmal, das ein totgeschwiegenes Sicherheitsrisiko gerne bei Seite gelegt wird. Ist das Problem öffentlich bekannt, müssen die Hersteller schnellstens dafür sorgen, dieses Risiko zu beseitigen. Außerdem bricht dadurch so manches aufgeblähtes Unverwundbarkeitsimage zusammen.

Leider besteht die große Gefahr, eine Anzeige zu bekommen.
Es gab schon einige Leute, vor allem aus der VX-Scene, die Sicherheitslücken von Virenscannern entdeckt haben und von einigen Herstellern angezeigt wurden.

Stellt euch ein Szenario vor:
Ihr surft auf http://www.proggen.org, tippt das Passowrt ein und denkt euch nichts weiter. Ihr loggt euch ein, doch irgendwas kommt euch komisch vor... Die seite ist zwar ähnlich aber nicht genau gleich wie früher. In Wirklichkeit habt ihr euch aber nicht auf dem proggen.org server eingeloggt, sondern an einem ganz anderen! Dieser hat nun eure email adresse und euer Passwort!
Wenn es nur auf der Forumsseite passiert, ist das ja kein Problem. Aber was, wenn es ebay accounts sind? Netbanking? Könnt ihr euch das ausmalen? Die Folgen wären katastrophal.

Dieses Szenario nennt sich Pharming und das gibt es schon länger.
Das da scheint aber eine eher neuartige Methode zu sein, mit die DNS-Server korrumpiert werden.

Ich muss aber sagen, dass dieses Risiko mich eher weniger betrifft, weil ich weder Online-Banking betreibe, noch ein Ebay-/Amazonkonto habe. Und das wären dann die beliebtesten Ziele der Angreifer.

[Xin]

Stellt euch ein Szenario vor:
Ihr surft auf http://www.proggen.org, tippt das Passowrt ein und denkt euch nichts weiter. Ihr loggt euch ein, doch irgendwas kommt euch komisch vor... Die seite ist zwar ähnlich aber nicht genau gleich wie früher. In Wirklichkeit habt ihr euch aber nicht auf dem proggen.org server eingeloggt, sondern an einem ganz anderen! Dieser hat nun eure email adresse und euer Passwort!
Wenn es nur auf der Forumsseite passiert, ist das ja kein Problem. Aber was, wenn es ebay accounts sind? Netbanking? Könnt ihr euch das ausmalen? Die Folgen wären katastrophal.

Ich sehe die Lücke jetzt ehrlich gesagt nicht.

Es steht Dir frei, einen DNS Server Deines Vertrauens zu wählen. Wenn der DNS Server Dir falsche IPs zurückmeldet, dann solltest Du ihn wechseln.
Wenn Dein DNS Server gehackt wird, so dass er Dir falsche IPs vermittelt, dann ist das das gleiche Problem, als würde man ebay oder Deine Bank hacken.

Sicher bist Du da nur, wenn Du die IP kennst. Ohne DNS kommst Du heute aber nicht mehr weit. Auf 85.131.186.43 liegt nämlich nicht nur forum.proggen.org und tutorial.proggen.org. Wenn Du die IP direkt anwählst, wo landest Du dann? Auf keiner der beiden Seiten, sondern auf einem ganz anderem Wiki, dass auch auf dem Server liegt.

Das ganze ist keine Sicherheitslücke, sondern ein verwaltungstechnisches Problem. Die "Lücke" ist ein Fundament des Internets.
Das ganze lässt sich also einfach zusammenfassen: Wer im Internet unterwegs ist, riskiert betrogen zu werden.

[fat-lobyte]

Ich sehe die Lücke jetzt ehrlich gesagt nicht.

Es steht Dir frei, einen DNS Server Deines Vertrauens zu wählen. Wenn der DNS Server Dir falsche IPs zurückmeldet, dann solltest Du ihn wechseln.
Wenn Dein DNS Server gehackt wird, so dass er Dir falsche IPs vermittelt, dann ist das das gleiche Problem, als würde man ebay oder Deine Bank hacken.

Die Lücke liegt im DNS Cache Poisoning, mit dem man einen DNS Server des Vertrauens (also des Vertrauens der Angegriffenen) dazu manipulieren kann falsche IP's zurückzugeben. Ihn so einfach zu Wechseln ist nicht so einfach, denn bei den meisten werden die DNS Server von den ISP's gestellt. Außerdem habe ich jetzt gelesen, dass zu dem Zeitpunkt als die Lücke veröffentlich wurden anscheinend nicht 2/3 der Server betroffen waren, sondern 82%.
Glaubst du, dass Frau Trude Müller, die glücklich ist dass sie nun endlich ihre Überweisungen von Zuhause machen kann auf die IP ihrer Bank achtet? Oder sich soweit informiert, einen anderen DNS server zu finden?

Es ist ganz und gar nicht das gleiche wie deine Bank zu hacken: ein Angreifer müsste die Seite nur umleiten, dann haben die Betroffenen pech gehabt.
Aber ich bin mir sicher, du kannst die Aufgeregte Meute in den Mailing Lists, die ganzen Sicherheitsmagazine, die überforderten ISP's und die Kriminellen davon überzeugen, dass die Sicherheitslücke ja ganz und gar nicht gravierend ist und "sowieso schon immer da war", und dass sich keiner Sorgen zu machen braucht.

[Xin]

Ich sehe die Lücke jetzt ehrlich gesagt nicht.

Die Lücke liegt im DNS Cache Poisoning, mit dem man einen DNS Server des Vertrauens (also des Vertrauens der Angegriffenen) dazu manipulieren kann falsche IP's zurückzugeben. Ihn so einfach zu Wechseln ist nicht so einfach, denn bei den meisten werden die DNS Server von den ISP's gestellt. Außerdem habe ich jetzt gelesen, dass zu dem Zeitpunkt als die Lücke veröffentlich wurden anscheinend nicht 2/3 der Server betroffen waren, sondern 82%.

Auch sehe ich nicht die 'Lücke', sondern die 'Lücke' ist eine gewolltes Verhalten. It's not a bug, it's a feature. DNS Server aktualisieren sich gegenseitig.
Fakt ist, dass man das ausnutzen kann, um DNS Servern falsche Informationen zuzuspielen.

Nur weil das bisher keiner mißbraucht hat, wird das nicht zur Lücke, sondern es bleibt ein gewolltes Verhalten. Wie man Mails verschickt, so kann man auch Spam verschicken. Das Empfangen von Mails ist gewolltes Verhalten, das Empfangen von Spam ist Mißbrauch.
Und... interessiert es jemanden? Wie es Spam-Filter gibt, wird es eben zukünftig DNS-Verifier geben und jeder wird lokal einen eigenen DNS-Server laufen haben. Und trotzdem wird immer wieder Spam und falsche IPs durchkommen.

Glaubst du, dass Frau Trude Müller, die glücklich ist dass sie nun endlich ihre Überweisungen von Zuhause machen kann auf die IP ihrer Bank achtet? Oder sich soweit informiert, einen anderen DNS server zu finden?

Das mache ich nichtmals selbst, aber die Banken.
Und die Banken übernehmen auch die Kosten, falls es zu mißbrauch kommt, denn sie müssen garantieren, dass die verwendeten Zahlungsmöglichkeiten abgesichert sind.

Es ist ganz und gar nicht das gleiche wie deine Bank zu hacken: ein Angreifer müsste die Seite nur umleiten, dann haben die Betroffenen pech gehabt.
Aber ich bin mir sicher, du kannst die Aufgeregte Meute in den Mailing Lists, die ganzen Sicherheitsmagazine, die überforderten ISP's und die Kriminellen davon überzeugen, dass die Sicherheitslücke ja ganz und gar nicht gravierend ist und "sowieso schon immer da war", und dass sich keiner Sorgen zu machen braucht.

Warum sollte ich?

Vielleicht kommt ein sicheres Protokoll heraus, dass schwerer zum umgehen ist und noch schwerer zu kontrollieren.
Die reale Bedrohung einer Grippe mit tödlichem Ausgang sehe ich als schwerwiegender als die Chance, dass jemand mein Konto plündert.
Wir regen uns über Gammelfleisch auf (während wir das Gammeln von Steaks als Abhängen bezeichnen und eins der besten Steakhäuser der Welt in NewYork erst den Schimmel vom Fleisch abschneiden muss), wir verweigern uns Rindfleisch aus Angst vor BSE und das besonders in der Zeit während es garantiert auf BSE geprüft wird. Und hatten Angst davor, dass im Jahr 2000 die Welt untergeht. Gasmasken waren kurz vor der Jahrtausendwende restlos ausverkauft. Was haben die Menschen erwartet? Alle Bäume stürzen ab und es gibt keine saubere Luft mehr?
Wenn sich eine Meute aufgeregt ist und die Experten überfordert sind, dann gibt's meiner Erfahrung nach nur ein sinnvolles Verhalten: Beine hochlegen und entspannen.

Ich sage nicht, dass man sich keine Sorgen machen soll. Bei täglich 10-15 Verkehrstoten in Deutschland, setze ich mich dennoch ohne Angst in mein Auto. Ich fahre angemessen, weil jede Handlung auch meinen Tod bedeuten kann. Beim Autofahren, beim überqueren der Straße, beim Verlassen meiner Wohnung kann ich die Treppe runterfallen. Ich weiß ja nicht, wie hoch die Chance ist, Opfer eines solchen Betruges zu werden. Das Worst-Case-Szenario ist jedenfalls nicht realistisch: bei 82% fehlerhafter DNS Einträge könnte niemand mehr eine Überweisung online tätigen. Im schlimmsten Fall verliere ich ein paar Euro, nichtmals mein Leben ist in Gefahr.

In diesem Verhältnis betrachte ich diese "Sicherheitslücke". Das Geld, dass ich im Monat aufgrund von Betrug verliere, steht in keinem Verhältnis zu dem Geld, dass mir so aus der Tasche gezogen wird.
Während Du diesen Beitrag gelesen hast, starben ein paar Dutzend Menschen, vorrangig Kinder, an Problemen, die wesentlich leichter zu lösen sind als DNS Server sicher zu machen. Das belastet mich mehr, als wenn ich meine Bank darauf hinweisen muss, dass eine Transaktion falsch abgelaufen ist.

[Dirty Oerti]

Egal ob es nun ne Lücke ist oder nicht.
Es wird immer Schwachstellen in einem System geben, die man angreifen kann.

Das ist so ähnlich wie der Sachverhalt in Kerli's Signatur:

Make it idiot-proof and someone will invent a better idiot...

Wird diese "Lücke" geschlossen, dann findet ein andere eine neue.

Was ich aber nicht ok finde:
Wenn so etwas an die Öffentlichkeit gerät.
Schön und gut, dass dadurch die Firmen gezwungen werden, schneller zu handeln.
Was ist aber mit den Leuten, die in dieser Zeit trotzdem betrogen werden?
Die nicht betrogen worden wären, wäre die Lücke geheim geblieben?

MfG
Daniel

[Xin]

Was ich aber nicht ok finde:
Wenn so etwas an die Öffentlichkeit gerät.
Schön und gut, dass dadurch die Firmen gezwungen werden, schneller zu handeln.
Was ist aber mit den Leuten, die in dieser Zeit trotzdem betrogen werden?
Die nicht betrogen worden wären, wäre die Lücke geheim geblieben?

Hmm... man muss abwägen, wo weniger Opfer auftreten - wenn niemand etwas sagt und sich die Sache zieht, weil es keinen interessiert oder wenn kurzfristig mehr passiert und das Problem sofort angegangen wird.

Früher hieß es 'Was werden die Nachbarn sagen?'. Dass Fehler gemacht werden, darf niemand erfahren.
Seitdem Dinge an die Öffentlichkeit geschliffen werden, tut sich auch mal was. Nachteil: man kümmert sich nicht mehr um die Dinge, die nicht in der Öffentlichkeit breitgetreten werden und die sind in der Regel wichtiger.

[fat-lobyte]

In diesem Verhältnis betrachte ich diese "Sicherheitslücke". Das Geld, dass ich im Monat aufgrund von Betrug verliere, steht in keinem Verhältnis zu dem Geld, dass mir so aus der Tasche gezogen wird.
Während Du diesen Beitrag gelesen hast, starben ein paar Dutzend Menschen, vorrangig Kinder, an Problemen, die wesentlich leichter zu lösen sind als DNS Server sicher zu machen. Das belastet mich mehr, als wenn ich meine Bank darauf hinweisen muss, dass eine Transaktion falsch abgelaufen ist.

Dies ist genau die Einstellung, die mich Wahnsinnig macht. Sobald es ein Problem gibt, dass nicht direkt Lebensbedrohlich ist, kommt der Spruch "aber drüben in Afrika sterben Kinder". Ja es Sterben Kinder. Ja es ist schlimm. Das bedeutet allerdings nicht, dass alles andere auf der Welt unbedeutend wird, dass eine Sicherheitslücke im DNS System "unwichtig" ist. Ob das Problem behoben wird, oder nicht, es werden Kinder sterben. Aber wir leben nun mal hier, mit unseren Problemen, und diese müssen eben auch behandelt werden.

[Xin]

Dies ist genau die Einstellung, die mich Wahnsinnig macht. Sobald es ein Problem gibt, dass nicht direkt Lebensbedrohlich ist, kommt der Spruch "aber drüben in Afrika sterben Kinder". Ja es Sterben Kinder. Ja es ist schlimm. Das bedeutet allerdings nicht, dass alles andere auf der Welt unbedeutend wird, dass eine Sicherheitslücke im DNS System "unwichtig" ist. Ob das Problem behoben wird, oder nicht, es werden Kinder sterben. Aber wir leben nun mal hier, mit unseren Problemen, und diese müssen eben auch behandelt werden.

Stimmt. Mir geht es auch weniger um die Kinder in Afrika, die sterben hier auch. Und die Chance, dass ich hier sterbe ist höher als dass ich Opfer einer solche Attacke werde.
Aber ich muss meine 24 Stunden Zeit am Tag doch auch ein wenig auf die Zeit verteilen, die mich wirklich betreffen oder die mich mit einer hohen Wahrscheinlichkeit betreffen.
Für die Probleme niedriger Wahrscheinlichkeit habe ich keine Zeit.