• Home
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Board
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Nachrichten
  • Topnews
  • Interviews
  • Glossen
  • Reportagen
  • Kurioses
  • RSS-Feed
  • Twitter
  • Newsletter
• NewsPresso
  • Newsübersicht
  • Regeln
  • Highscore
  • RSS-Feed
• Internet
  • Denkanstösse
  • Wissenswertes
  • Filesharing
  • Tools
• IT-Sicherheit
  • Rechtliches
  • Anonymität
  • Cybercrime / Cyberwar
  • Verschlüsselung
  • Netzsperren
  • IT-Forensik
  • Linux-Server
  • Passwörter
  • Spam
  • WLAN
• Unterhaltung
  • Bild und Film
  • Ton und Musik
  • Mobile Endgeräte
  • PC und N-books
  • Internet
  • Spiele
  • Roboter
• Ansichtssache
  • Kommentiere und bewerte die Fundstücke.
• Chat
  • Anleitungen
  • Webchat
  • Channelstats
  • Zitate

djbdns: Sicherheitslücken entdeckt

Die DNS-Software djbdns des Kryptographie-Experten Daniel J. Bernstein ist offenbar nicht ganz so sicher, wie bisher angenommen wurde.

Bernstein selbst ist von seiner Software offenbar überzeugt: Er setzte einen Preis von 1000 Dollar aus, den die Person bekommt, der es gelingt, djbdns zu hacken. Nun sieht es ganz so aus, als müsste sich Bernstein von diesem Geld trennen: Sicherheitsforschern gelang es, mehrere Lücken in djbdns aufzudecken. Diese könnten es Angreifern erlauben, Benutzer des DNS-Servers auf beliebige Websites umzuleiten mit Hilfe des sogenannten DNS Cache Poisoning.

Anstelle der korrekten Website für eine Domain könnten die Angreifer dann beispielsweise eigene, mit Malware verseuchte Seiten im DNS-Server eintragen und so beispielsweise Trojaner verbreiten. Zahlreiche DNS-Server sind betroffen: djbdns ist nach Bind die Nummer zwei auf der Beliebtheitsskala bei DNS-Server-Programmen. djbdns gilt als besonders sicher - wie man nun jedoch sieht, ist auch die am besten auf Sicherheit optimierte Software keineswegs unverwundbar.

Einer der Angriffe, der vergangene Woche von IT-Sicherheitsforscher Kevin Day veröffentlicht wurde, nutzt eine bereits seit 2002 bekannte Lücke im DNS-Protokoll aus: Durch mehrfaches Anfragen derselben Adresse kann der Cache, in dem die DNS-Einträge abgelegt sind, manipuliert werden.

Der Angriff beruht auf dem sogenannten Geburtstags-Paradoxon. Dieses taucht im Bereich Kryptographie und IT-Sicherheit immer wieder auf und beruht auf der Verteilung statistischer Wahrscheinlichkeiten. Die Fragestellung: Wie groß muss eine Gruppe zufällig ausgewählter Menschen sein, damit die Wahrscheinlichkeit, dass zwei von ihnen am selben Tag Geburtstag haben, mehr als 50 Prozent beträgt? Die Antwort darauf fällt weit niedriger aus, als viele Menschen vermuten würden: Nur 23 Personen sind dafür nötig (Verschwörungstheoretiker und Illuminaten-Fans werden dies womöglich als weiteren Beweis für das Gesetz der 23 werten). Um auf eine Wahrscheinlichkeit von über 99 Prozent zu kommen, braucht es ebenfalls nur eine relativ kleine Gruppe von 57 Leuten.

Was bedeutet dies in Bezug auf DNS-Server? Angreifer können bis zu 200 parallele Abfragen für dieselbe Website schicken. Das wird von djbdns nicht verhindert, was die Software für den Angriff mit Hilfe des Geburtstags-Paradoxons, der in anderen DNS-Servern bereits seit Jahren nicht mehr möglich ist, anfällig macht. Bei dem Angriff wird versucht, eine Kollision zwischen einem Manipulationsversuch und einer gerade in Bearbeitung befindlichen Abfrage zu erzeugen: Um eine erfolgreiche Manipulation des DNS-Caches durchzuführen, muss man erfolgreich die vom Server zufällig vergebene Port-Nummer und die Paket-ID der entsprechenden Abfrage erraten. Durch das Geburtstags-Paradoxon wird die Anzahl der dafür im Durchschnitt benötigten Versuche von zwei Milliarden auf etwa 16 Millionen gesenkt.

Ein zweiter Angriff funktioniert über die Vereinfachung langer Domains. Dieser ist allerdings nur möglich, wenn ganz bestimmte Zusatzpakete installiert sind, was nur auf sehr wenigen djbdns-Servern der Fall ist. Gerüchten zufolge soll es auch noch einen dritten Exploit geben, über den aber momentan noch keine näheren Informationen veröffentlicht sind.

Die gefundenen Sicherheitslücken sind bei weitem nicht so dramatisch wie die Lücken, die im vergangenen Jahr in DNS-Servern entdeckt wurden. Trotzdem könnten sie Angreifern eine Hintertür bieten und werden daher hoffentlich schon bald behoben werden.

Was das Preisgeld angeht, ist IT-Sicherheitsforscher Matthew Dempsky, der den auf URL-Kürzung basierenden Exploit entdeckt hat, optimistisch. Er meinte, er habe Bernstein angemailt und dieser würde den Sachverhalt momentan überprüfen. Nächste Woche soll es eine endgültige Antwort geben, aber Dempsky geht davon aus, demnächst um 1000 Dollar reicher zu sein. (Annika Kremer)

(via The Register, thx!)

News Redaktion am Samstag, 28.02.2009 18:39 Uhr

Tags: it-sicherheit hacking dns bernstein dempsky djbdns dns cache poisoning angriff