Das Internet erhält einen Patch, da der DNS-Fehler behoben ist

Hersteller der Software, die verwendet wird, um Computer im Internet zu verbinden, veröffentlichten gemeinsam am Dienstag Software-Updates, um einen schwerwiegenden Fehler in einem der dem Internet zugrunde liegenden Protokoll, dem Domain Name System (DNS), zu beheben wurde von Dan Kaminsky, einem Forscher des Sicherheitsanbieters IOActive, "durch einen kompletten Unfall" entdeckt. Kaminsky, ein ehemaliger Mitarbeiter von Cisco Systems, ist bereits für seine Arbeit im Bereich Networking bekannt.

Durch das Senden bestimmter Arten von Abfragen an DNS-Server könnte der Angreifer dann Opfer von einer legitimen Website wegleiten - sagen wir Bofa.com - zu einer bösartigen Website, ohne dass das Opfer es bemerkt. Diese Art von Angriff, die als DNS-Cache-Poisoning bezeichnet wird, wirkt sich nicht nur auf das Web aus. Es könnte verwendet werden, um den gesamten Internetverkehr auf die Server des Hackers umzuleiten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Fehler könnte wie ein Phishing-Angriff ausgenutzt werden, ohne Ihnen E-Mails zu senden. "sagte Wolfgang Kandek, technischer Leiter des Sicherheitsunternehmens Qualys.

Obwohl dieser Fehler einige Home-Router und Client-DNS-Software betrifft, ist dies meistens ein Problem für Firmenbenutzer und ISPs (Internet Service Provider), die die verwendeten DNS-Server ausführen von PCs, um sich im Internet zurecht zu finden, sagte Kaminsky. "Heimanwender sollten nicht in Panik geraten", sagte er in einer Telefonkonferenz am Dienstag.

Nach der Entdeckung des Fehlers vor einigen Monaten hat Kaminsky sofort eine Gruppe von etwa 16 für DNS-Produkte zuständigen Sicherheitsexperten zusammengestellt, die sich am 31. März bei Microsoft trafen einen Weg finden, um das Problem zu beheben. "Ich kontaktierte die anderen Jungs und sagte: 'Wir haben ein Problem'", sagte Kaminsky. "Die einzige Möglichkeit, dies zu erreichen, ist eine gleichzeitige Veröffentlichung auf allen Plattformen."

Dieser massive Bug-Fix trat am Dienstag auf, als einige der am häufigsten verwendeten Anbieter von DNS-Software Patches veröffentlichten. Microsoft, Cisco, Red Hat, Sun Microsystems und das Internet Software Consortium, Hersteller der am weitesten verbreiteten DNS-Server-Software, haben ihre Software auf den neuesten Stand gebracht.

Das Open Source-Programm des Internet Software Consortium (Berkeley Internet Name) Domain) läuft auf etwa 80 Prozent der DNS-Server des Internets. Für die meisten BIND-Benutzer wird das Update ein einfaches Upgrade sein, aber für die geschätzten 15 Prozent der BIND-Benutzer, die noch nicht auf die neueste Version der Software, BIND 9, umgestiegen sind, könnte es etwas schwieriger sein.

Das ist weil ältere Versionen von BIND einige populäre Eigenschaften haben, die geändert wurden, als BIND 9 veröffentlicht wurde, nach Joao Damas, Senior Programm Manager für das Internet Software Consortium.

Kaminsky's Bug hat mit der Art und Weise zu tun, wie DNS-Clients und Server Informationen erhalten andere DNS-Server im Internet. Wenn die DNS-Software die numerische IP-Adresse (Internet Protocol) eines Computers nicht kennt, fragt sie einen anderen DNS-Server nach diesen Informationen. Mit Cache-Poisoning trickst der Angreifer die DNS-Software zu der Annahme, dass legitime Domänen wie Bofa.com bösartigen IP-Adressen zugeordnet sind.

Sicherheitsforscher wissen seit einiger Zeit, wie diese Cache-Poisoning-Angriffe gegen DNS-Server gestartet werden können In der Regel erfordern diese Angriffe jedoch, dass Angreifer eine große Menge an Daten an den DNS-Server senden, den sie zu infizieren versuchen. Dadurch können die Angriffe leichter erkannt und blockiert werden. Allerdings fand Kaminsky einen viel effektiveren Weg, um einen erfolgreichen Angriff zu starten.

Da Kaminskys Fehler im Design von DNS selbst liegt, gibt es keinen einfachen Weg, es zu reparieren, sagte Damas. Stattdessen haben Unternehmen wie ISC ihre Software um eine neue Sicherheitsmaßnahme erweitert, die es schwieriger macht, Cache-Poisoning zu betreiben.

Auf lange Sicht jedoch ist der effektivste Weg, mit Cache-Poisoning umzugehen, ein sicherer zu sein Version von DNS, genannt DNSSEC, sagte Danny McPherson, Forschungsleiter bei Arbor Networks. Der Fix von Dienstag ist im Grunde "ein Hack, der es viel schwieriger macht", sagte er. "Aber es behebt das Grundproblem nicht."

Kaminsky sagt, er werde den Netzwerkadministratoren einen Monat Zeit geben, ihre Software zu patchen, bevor sie auf der Black-Hat-Konferenz in Las Vegas im nächsten Monat weitere technische Details zu dem Fehler preisgeben. In der Zwischenzeit hat er Code auf seiner Website veröffentlicht, mit dem Benutzer sehen können, ob der DNS-Server ihres Unternehmens oder ISPs gepatcht wurde.