/ / Die DNS-Schwachstelle: Was Sie wissen und tun sollten

Die DNS-Schwachstelle: Was Sie wissen und tun sollten

Am 31. Juli 2008 ver√∂ffentlichte Apple einen √ľberf√§lligen PatchDies ist eine Sicherheitsl√ľcke in der Art und Weise, wie Mac OS X Server die Namen von Websites und E-Mail-Adressen in numerische Adressen f√ľr Verbindungen umwandelt. Die Sicherheitsanf√§lligkeit ist ein grundlegender Fehler im DNS-Protokoll (Domain Name Service) und betrifft bis auf eine Handvoll DNS-Server, die in Betriebssystemen integriert und als eigenst√§ndige Serversoftwarepakete ver√∂ffentlicht sind.

Wird von einem Internetdienstanbieter ausgenutzt(ISP) oder dem DNS-Server des Unternehmens kann ein Angreifer jeden Benutzer dieses Servers an ein Ziel seiner Wahl umleiten. Während Sie also Macworld.com aus Ihren Lesezeichen auswählen oder in das Standortfeld eines Browsers eingeben und der Browser www.macworld.com in diesem Standortfeld anzeigt, haben Sie tatsächlich die Startseite einer von gehosteten schädlichen Website heruntergeladen ein böser Kerl, der es mit Malware und Phishing-Versuchen geladen hat.

Obwohl Apple ein Update f√ľr alle Macs ver√∂ffentlicht hatMit OS X 10.4.11 und 10.5.4 (Server und Desktop, Intel und PowerPC, Leopard und Tiger) reparierte der Fix nur den anf√§lligsten Teil von DNS, die Serversoftware, auch auf Systemen, die sie nicht verwenden. (Die Serversoftware ist unter Mac OS X installiert, aber nicht aktiviert. Unter OS X Server muss der DNS-Dienst konfiguriert und aktiviert sein.)

Client-DNS-Software, die von einem Betriebssystem zum Anfordern einer DNS-Suche von einem vollständigen DNS-Server verwendet wird, ist immer noch gefährdet, jedoch auf einer niedrigeren Ebene und unter eingeschränkteren Umständen.

Die Sicherheitsanfälligkeit verstehen

Anfang dieses Jahres hatte der Sicherheitsforscher DanKaminsky entdeckte versehentlich eine gro√üe Sicherheitsl√ľcke in DNS - das Protokoll, das die uns bekannten Dom√§nennamen (www.macworld.com) in die IP-Adressen (Internet Protocol) umsetzt, die von der Software verwendet werden, die das Internet versorgt (70.42.185.230). (Hinweis: Einer der Autoren dieses Artikels, Rich Mogull, arbeitete mit Kaminsky an der Vorbereitung der Ank√ľndigung.)

Genauer gesagt hat Kaminsky keine neue Sicherheitsanfälligkeit entdeckt, sondern eine neue, tödlich wirksame Methode, um eine bekannte DNS-Schwachstelle anzugreifen. Bekannt als Cache-VergiftungIn dieser Angriffsklasse kann ein Angreifer die Datenbank, die sich auf einem DNS-Server befindet, beschädigen und den Systemen der Benutzer Details bereitstellen, wenn sie eine Suche von Name zu Nummer anfordern.

Durch diesen Fehler kann ein Angreifer die g√ľltige IP ersetzenAdresse, die an einen Domainnamen gebunden ist, mit einer beliebigen IP-Adresse, die der Angreifer haben m√∂chte. Tats√§chlich kann ein Angreifer die Webbrowser der Benutzer (und andere Internet-Software) entf√ľhren, indem er dem Browser die falsche IP-Adresse zur Verf√ľgung stellt. Der Browser zeigt an, was der Benutzer f√ľr die eingegebene Adresse h√§lt, wodurch die Umleitung unsichtbar wird. Andere Browserumleitungen verwenden Tricks wie Frames und k√∂nnen nicht so einfach ausgeblendet werden.

Wenn ein Benutzer an ein b√∂swilliges Ziel gesendet wird, wird dieB√∂sewichte k√∂nnten eine Vielzahl von Social-Engineering-Tricks verwenden, um Sie zur Eingabe vertraulicher Informationen (wie einer gef√§lschten Bank-Website, die echt aussieht) zu verleiten oder um Sie direkt √ľber Schwachstellen im Webbrowser anzugreifen. Mac-Besitzer sind eher von ersteren als von letzteren betroffen, da derzeit keine √∂ffentlichen Mac OS X-Exploits in freier Wildbahn bekannt sind, die nur durch den Besuch einer Website funktionieren.

Vor Kaminskys Entdeckung war Cache-Vergiftungein harter Angriff zum Durchziehen. Jede DNS-Anfrage besteht aus zwei Teilen: einer Transaktions-ID (TXID), die eine zuf√§llige 16-Bit-Zahl ist, was bedeutet, dass knapp 66.000 m√∂gliche Werte vorliegen. Die TXID wird mit einer Portnummer gekoppelt, bei der es sich um eine Art Postfach unter einer IP-Adresse handelt. Eine ausgehende Anforderung jeglicher Art wird an einen Port angeh√§ngt, sodass die Antwort von einem Remoteserver oder einem anderen Computer an das rechte Ablagefach auf dem anfordernden Computer zur√ľckgesendet werden kann.

Bei einer Cache-Vergiftung wurde versucht, zu erratenTXID- und UDP-Kombinationen und der Versuch, gef√§lschte Antworten bereitzustellen, die als legitim akzeptiert w√ľrden. Dies konnte Tage oder Wochen dauern und war weder erfolgreich noch unbemerkt. Diese Methode w√ľrde auch keine Eintr√§ge in der zwischengespeicherten DNS-Nummerndatenbank ersetzen, da in den 90er-Jahren Schutzmechanismen in DNS eingef√ľgt wurden, nachdem fr√ľhere Angriffe herausgefunden wurden. Es war ein Rennen, das f√ľr die B√∂sen sehr schwer zu gewinnen war.

Der neue Angriff umgeht fr√ľhere Einschr√§nkungen.basierend auf zwei Faktoren. Zun√§chst weisen die meisten (aber nicht alle) DNS-Server nacheinander die Ports zu, die sie f√ľr DNS-Abfragen verwenden. Das hei√üt, sie beginnen mit 58363, verwenden dann 58364 usw. und werden um eins erh√∂ht. Zweitens entschied Kaminsky, dass das Senden einer Reihe von schlechten Anfragen eines bestimmten Typs das Potenzial eines Angreifers, das Rennen zu gewinnen, dramatisch erh√∂hen w√ľrde.

Der Angriff beginnt in der Regel mit dem Versuch,Lassen Sie einen DNS-Server nach einem in b√∂swilliger Absicht kontrollierten Dom√§neneintrag suchen. Wenn ein Angreifer einen DNS-Server veranlasst, eine Adresse von einem von der Attacke kontrollierten DNS-Server abzurufen, kann dieser √úbelt√§ter die aktuelle Portnummer abrufen, die der Ziel-DNS-Server verwendet. Der n√§chste Teil des Angriffs besteht darin, den Server mit Anfragen nach nicht existierenden Unterdom√§nen zu bombardieren - der am weitesten links stehende Teil eines Dom√§nennamens - in der Dom√§ne, f√ľr die der Angreifer Lookups entf√ľhren m√∂chte.

Beispielsweise kann der Angreifer den Server erzwingenaaaaaa.macworld.com nachzuschlagen und dann, weil er den UDP-Port kennt, in etwa einer Sekunde Zehntausende gef√§lschter Antworten f√ľr diese Unterdom√§ne zu senden. Wenn der DNS-Server von macworld.com vor dem Angreifer mit der richtigen TXID und dem richtigen Port antwortet, gewinnt er. Aber der Angreifer hat in diesem Rennen Zehntausende von L√§ufern, und derjenige mit der richtigen TXID muss den macworld.com-Server besiegen.

Wenn aaaaaa.macworld.com schl√§gt fehl, der Angreifer kann zu aaaaab.macworld.com wechseln und so weiter. Schlie√ülich gewinnt der Angreifer durch reine Zahlen - es kann zwischen 10 Sekunden und einigen Minuten dauern, bis er gewinnt, und wenn er einmal gewonnen hat, ist alles verloren. Die Antwort, die gewonnen wird, kann auch andere Informationen zu derselben Dom√§ne enthalten, die als zus√§tzliche Datensatzfelder bezeichnet werden. Der Angreifer ersetzt damit den zwischengespeicherten Eintrag f√ľr die Hauptdom√§ne oder eine andere gew√ľnschte Dom√§ne.

Denken Sie so dar√ľber nach. Alex hat ein Blind Date namens Charlene. Aber Alex hat einen Feind namens Beth. Beth findet heraus, dass Alex um 12.10 Uhr jemanden im Cafe Depot zum Kaffee treffen soll, wei√ü aber nicht, wie das Blind Date hei√üt. Beth schickt 50.000 Frauen mit unterschiedlichen Namen in das Caf√© - mittlerweile ziemlich √ľberf√ľllt. "Hey, Alex, ich bin Alexis, bin ich nicht hier, um dich zu treffen?" "Hey, Alex, ich bin Zelda, bin ich nicht hier, um dich zu treffen?"

Wenn Beths angeheuerte Hand namens Charlene Alex trifftBevor er sein richtiges Blind Date hat, wurde ihm als n√§chstes ein Mickey aus dem Leib gerissen und er wacht in einem Hotelzimmer mit einer Narbe auf, in der sich seine Niere befand, seine Brieftasche fehlte und eine satte Rechnung f√ľr den Zimmerservice.

Kaminsky ist bekannt f√ľr die Erforschung von DNSFragen, und nach dem R√§tseln √ľber dieses Problem rief Paul Vixie, der Kerl, der von Anfang an weitgehend f√ľr DNS verantwortlich war. Vixie ist auch die Person hinter dem Internet Security Consortium, das BIND zu einem der am h√§ufigsten verwendeten DNS-Server macht - es ist die von Apple verwendete Software. Kaminsky und Vixie kontaktierten andere Experten und wichtige Anbieter und veranstalteten im M√§rz ein geheimes Treffen auf dem Microsoft-Campus.

Bei dem Treffen stimmten die Teilnehmer zu: aKoordinierter Termin f√ľr die Ver√∂ffentlichung von Patches, um das Risiko zu minimieren, dass die B√∂sen es herausfinden w√ľrden, bevor einige Produkte gepatcht wurden. Diese Kerngruppe arbeitete dann mit anderen Anbietern wie Apple zusammen, die anf√§llige DNS-Versionen wiederverwenden. (Einige Firmen ver√∂ffentlichten Patches vor dem vereinbarten Datum ohne Details √ľber den Exploit, und niemand bemerkte, dass diese √Ąnderungen vorgenommen wurden.)

Am 8. Juli 2008 fand ein beispielloser Massentakt stattDer hersteller√ľbergreifende Patch wurde ver√∂ffentlicht und von US-CERT, dem Computer Emergency Response Team des US-Bundesstaates, beworben, mit dessen Hilfe wichtige Informationen zur Computersicherheit verbreitet werden.

Das Update randomisierte die von DNS verwendeten Ports und machteEs ist f√ľr Angreifer viel schwieriger, vorherzusagen, wohin sie ihre gef√§lschten Antworten senden sollen. Stellen Sie sich anhand unseres Beispiels vor, Beth w√ľsste nur, dass Alex Charlene irgendwann in einer bestimmten Woche treffen w√ľrde. Sie m√ľsste Millionen von Betr√ľgern rausschicken, und die Wahrscheinlichkeit, dass eine gef√§lschte Charlene zur richtigen Zeit eintrifft, um Alex abzufangen, bevor die echte verschwindet, ist gering.

Es ist keine dauerhafte L√∂sung, aber eine, die alle √ľberzeugtAnbieter konnten implementieren, und es wurde nicht unbedingt die genaue Sicherheitsanf√§lligkeit aufgedeckt, sodass jeder zus√§tzliche Zeit zum Patchen hatte. Leider wurden 13 Tage sp√§ter aufgrund einer Kombination von Faktoren die vollst√§ndigen Details der Sicherheitsanf√§lligkeit ver√∂ffentlicht, und es folgten sofort Angriffstools.

Trotz der Information √ľber das Problem wieder inIm Mai ver√∂ffentlichte Apple am 8. Juli keinen Patch f√ľr andere wichtige Betriebssystemhersteller, einschlie√ülich Microsoft. Apple verz√∂gerte sogar die Ver√∂ffentlichung eines Patches um Wochen, nachdem Exploit-Code ver√∂ffentlicht wurde und Angriffe in freier Wildbahn auftraten. Apple konnte nicht nur nicht patchen, sondern auch nicht dar√ľber informieren, wann sie mit einem Patch rechnen konnten. Da Serveradministratoren die M√∂glichkeit hatten, die Version von BIND auf ihren OS X-Servern manuell zu aktualisieren, ist es schwer zu verstehen, warum es so lange gedauert hat, bis Apple reagiert hat.

Ihr Risiko verstehen

Bei weit verbreiteten Angriffstools ist es wichtig, dass jeder, der Mac OS X Server als rekursiven DNS-Server verwendet, sofort den Apple-Patch anwendet.

Wir haben das Update der letzten Woche nach dem Lesen getestet ein Eintrag im Blog des SANS Institute, ein Sicherheitsforschungskonsortium von ApplePatch repariert nur den DNS-Server in Mac OS X Tiger und Leopard, nicht den Client. Wir haben best√§tigt, dass dies der Fall ist: Clients sind immer noch anf√§llig, aber die spezifischen Umst√§nde f√ľr einen erfolgreichen Angriff auf durchschnittliche Computer sind noch nicht √∂ffentlich. Dan Kaminsky wird diese Details in einem Vortrag ver√∂ffentlichen, den er auf der Black Hat-Sicherheitskonferenz am Mittwoch, aber es wird davon ausgegangen, dass das Risiko f√ľr die Kunden weiterhin gering sein wird.

Das reale Risiko f√ľr den durchschnittlichen Mac-Benutzer besteht in der Verwendung einesnicht gepatchter DNS-Server. Zu Hause ist dies m√∂glicherweise Ihr ISP. Bei der Arbeit ist es Ihr Arbeitgeber. Auf Ihrem iPhone ist es AT & T; und in Internetcaf√©s ist es der ISP f√ľr das Caf√©. Wenn Sie hinter einem anf√§lligen Server browsen, der Ihnen eine IP-Adresse und DNS-Server zuweist, k√∂nnen Sie von Angreifern, die diesen Server √ľbernehmen, weitergeleitet werden, wo immer sie m√∂chten.

Sie haben verschiedene M√∂glichkeiten, sich zu sch√ľtzen. Erstens k√∂nnen Sie Ihren Mac immer hart codieren, um einen ‚Äěsicheren‚Äú DNS-Dienst wie OpenDNS zu verwenden, der einen kostenlosen DNS-Dienst bietet und sich auf DNS-Serversoftware st√ľtzt, die bereits vor Bekanntwerden gegen diesen Angriff gesch√ľtzt war. Die DNS-Server von OpenDNS befinden sich unter 208.67.222.222 und 208.67.220.220. Durch die Eingabe dieser IP-Adressen wird die Nutzung verhindert, da sie direkt verwendet und nicht nachgeschlagen werden.

Gehen Sie folgendermaßen vor, um OpenDNS oder einen anderen sicheren DNS-Server festzulegen:

  1. √Ėffnen Sie die Systemeinstellungen und w√§hlen Sie den Bereich Netzwerkeinstellungen aus.
  2. W√§hlen Sie nacheinander jeden Adapter aus, f√ľr den Sie verwendenInternetverbindungen wie AirPort und Ethernet. W√§hlen Sie diese in Tiger aus dem Dropdown-Men√ľ √ľber der Liste aus. Klicken Sie in Leopard auf den Adapter in der Liste links.
  3. Geben Sie in der TCP / IP-Ansicht Ihre sicheren DNS-Server ein. In Tiger ist TCP / IP eine Registerkarte f√ľr jeden Adapter. In Leopard werden DNS-Server in der Hauptansicht f√ľr Ethernet √ľber die Schaltfl√§che Erweitert f√ľr AirPort und die meisten anderen Netzwerkadapter festgelegt.

Auf einem iPhone muss man leider umsteigendie DNS-Servereinstellungen f√ľr jede einzelne Wi-Fi-Verbindung, die Sie herstellen. Dies ist f√ľr Ihr Heim- und B√ľronetzwerk einfach, f√ľr jedes andere Netzwerk jedoch ein Problem. AT & T erlaubt EDGE- (2.5G) oder 3G-Verbindungen nicht mit alternativem DNS, und AT & T ist nach wie vor einer der nationalen ISPs, die ihre DNS-Serversoftware nicht aktualisieren konnten, um den Exploit zu vermeiden, der in diesem Artikel festgestellt wurde Das Netzwerk von AT & T in Austin, Texas.

Mit einem iPhone oder auf einem Laptop oder Desktop, SieVerwenden Sie stattdessen eine VPN-Verbindung von einem Unternehmen, f√ľr das Sie arbeiten, oder √ľber Witopia.net oder publicVPN.com. VPN-Verbindungen erfordern eine sichere Anmeldung, und ein ausgenutzter Dom√§nenname f√ľr den VPN-Server verhindert, dass eine Verbindung hergestellt wird. Dies ist eine gute Warnung. Wenn die VPN-Verbindung aktiv ist, wird der DNS-Dienst normalerweise √ľber einen Server am anderen Ende der VPN-Verbindung bereitgestellt. Verwenden Sie die im n√§chsten Absatz beschriebene Technik, um zu √ľberpr√ľfen, ob der DNS-Server Ihres VPN-Dienstes korrekt gepatcht wurde.

Um herauszufinden, ob Sie anfällig sind, hat Dan Kaminsky a DNS Checker auf seiner Website. Klicken Sie auf die Schaltfläche in der oberen rechten Ecke, um zu erfahren, ob Ihr aktueller DNS-Server Port-Randomization verwendet.

Das andere Risiko, wenn Sie ein nicht gepatchtes DNS verwendenServer oder ein Server, bei dem Sie sich nicht sicher sind, verf√ľgt √ľber sichere Webverbindungen. Sichere Webserver verwenden digitale Zertifikate, die von Browsern und Betriebssystemen √ľberpr√ľft werden k√∂nnen. Dabei werden Informationen verwendet, die bereits in den Browser und das Betriebssystem integriert sind, um die kryptografische Signatur einer bekannten Drittanbieterautorit√§t zu √ľberpr√ľfen, die die Berechtigung des Zertifikats best√§tigt.

Mit dem DNS-Fehler k√∂nnen Angreifer das WWW √§ndern.amazon.com verweist auf eine IP-Adresse, auf der ein eigenes Zertifikat installiert wurde, das angeblich f√ľr www.amazon.com g√ľltig ist. Jeder Browser, der sichere Verbindungen unterst√ľtzt, weist Sie jedoch darauf hin, dass das Zertifikat entweder ung√ľltig ist (die falsche oder keine validierende Signatur enth√§lt) oder selbst signiert ist, was bedeutet, dass keine Gutscheine von Drittanbietern daf√ľr vorliegen. Halt. Gehen Sie nicht vorbei. Nicht verbinden!

Ein zweiter Weg, wie eine sichere Website sein k√∂nnteDies ist gef√§hrdet, wenn Sie kein Lesezeichen f√ľr die URL einer Bank- oder anderen Website haben, auf der "https" als Abk√ľrzung f√ľr eine sichere Webverbindung beginnt. Wenn Sie www.chase.com aufrufen, werden Sie bei normaler Verwendung zun√§chst zu der ungesicherten Site weitergeleitet und dann von Chase zu ihrer sicheren Site weitergeleitet.

0

√Ąhnliche Artikel


Kommentare (0)

Einen Kommentar hinzuf√ľgen