SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

DNS Hijacking nimmt zu


Internetbenutzer die den Domainnamen nytimes.com in der Navigationsleiste ihres Browsers eingegeben hatten, sahen gestern für sechs Stunden nicht etwa die Webseite der Zeitung, sondern eine Seite der “Syrian Electronic Army” oder eine Fehlermeldung. Wie die Los Angeles Times berichtet, wurden die Zugriffs-Credentials eines Resellers von Melbourne IT missbraucht um die DNS-Einträge für nytimes.com zu ändern und die Besucher so auf einen anderen Webserver zu leiten.

Angriffe über das Domain Name System (DNS) häufen sich in der letzten Zeit. Statt eine gut gesicherte Webseite zu hacken, versuchen Kriminelle den Domainnamen auf den eigenen Server umzuleiten. Der Web-Traffic ist viel wert, sei es für Propaganda, wie im Fall der Syrian Electronic Army, oder für kriminelle Zwecke, wie das Verteilen von Malware, Clickfraud oder zur Search Engine Optimierung.

Statt einzelne DNS-Server zu hacken, versuchen die Kriminellen verstärkt, Registries, Registrare und Reseller von Domainnamen anzugreifen. Gelingt es ihnen in die Systeme oder an Credentials zu gelangen, können so oft gleich tausende von Domainnamen auf den eigenen Server umgeleitet werden. Prominente Opfer sind vor allem viel besuchte Webseiten wie Suchmaschinen oder Nachrichtenportale.

Auch Schweizer Domainnamen waren in der vergangenen Woche von falschen DNS Antworten betroffen. Nicht durch einen Angriff von Kriminellen, sondern durch die Wiederverwertung eines abgelaufenen Domainnamen durch Networksolutions. Die Swisscom hatte den Domainnamen ip-plus.net aufgrund eines Missverständnisses nicht verlängert. Networksolutions hatte daraufhin den Domainnamen anderweitig genutzt, mit dem Ergebniss, dass ns1.ip-plus.net und ns2.ip-plus.net auf den Server 208.91.197.132 umgeleitet wurden. Dieser gab nicht nur für den Domain-Namen ip-plus.net Antwort sondern auch für die vielen .ch und .li Domainnamen, die den DNS-Service der Swisscom nutzen. Die Antwort war für alle Domainnamen die des “falschen” Nameservers 208.91.197.132.

$ dig nzz.ch @208.91.197.132 +short
208.91.197.132

Dies führte dazu, dass einige Internetnutzer statt der Schweizer Webseite eine Webseite von Networksolutions sahen. Einer der umgeleiteten .ch Domainnamen war nzz.ch. Die NZZ hat sofort reagiert und ihre Leser informiert. Der Webserver auf 208.91.197.132 hat abhängig vom Domainnamen eine entsprechende Webseite erzeugt. So sah z.B. die Seite der Neuen Zürcher Zeitung für Internetnutzer aus die Antwort vom “falschen” DNS-Server erhalten hatten:

Bildschirmfoto 2013-08-20 um 17.04.49

Swisscom hatte den Fehler schnell bemerkt und konnte die Einträge für ip-plus.net korrigieren. Dennoch wurde ein Teil der Anfragen wegen der Zwischenspeicherung von Antworten in DNS-Resolvern (24 Stunden TTL) weiterhin vom Server 208.91.197.132 beantwortet.

In allen Fällen waren die betroffenen Unternehmen und Webseiten nicht angegriffen worden und konnten sich so nur schwer gegen einen Angriff wehren. Unternehmen mit hohen Anforderungen an die Sicherheit und Verfügbarkeit ihres Domainnamen sollten daher ihre Lieferanten sorgfältig auswählen und sicherstellen, dass diese auch im Notfall zu erreichen sind.

Eine technische Massnahme um solche Angriffe zu erschweren ist der Einsatz der Domain Name System Security Extensions (DNSSEC), mit dem die Resource Records signiert werden können. Ein DNS-Resolver eines Providers kann damit die Antworten validieren, bevor er sie weitergibt. Im Fall der von networksolutions falsch beantworteten Schweizer Domain-Namen hätte dies bei validierenden DNS-Servern dazu geführt, dass diese die falschen Antworten erkannt und verworfen hätten. Die DNSSEC-signierten .ch Domain-Namen die neben dem DNS-Server ns1.ip-plus.net einen weiteren eingetragen hatten, der die richtige Antwort gab, waren durch DNSSEC geschützt, die Internetnutzer sahen weiterhin die richtige Webseite.

Comments are closed.