07.03.2005 18:12
Phishing mit Pharming [Update]
Phishing, als Möglichkeit an Passwörter und PINs von unbedachten Usern zu gelangen ist hinreichend bekannt. Nun kristallisiert sich ein neuer Trend beim Abgreifen dieser Daten heraus: Pharming. Pharming ist einfach ein neuer Name für einen relativ alten Angriff: Domain-Spoofing.
Anders als beim Phishing landet bei einem erfolgreichen Pharming-Angriff selbst ein User, der vorausschauend keinem Link in einer Phishing-Mail folgt und stattdessen die URL von beispielsweise signin.ebay.de per Hand im Browser eingibt, oder die Seite über einen Bookmark aufruft, auf einer falschen Seite. Diese Seite sieht dann zwar wie von eBay aus und taucht auch als signin.ebay.de in der URL-Leiste auf, residiert aber eigentlich auf dem Server eines Angreifers.
Pharming nutzt die Auflösung von Namen zu IP-Adressen im Internet aus. Wenn ein User eine Adresse (wie beispielsweise www.heisec.de) eingibt, muss diese URL-Adresse in eine numerische Adresse wie 193.99.144.80 konvertiert werden. Diese sogenannte Name-Resolution führen DNS-Server (Domain Name System) durch, die dazu Tabellen von IP-Adressen und Domain-Namen verwalten.
Bereits im November 2004 berichtete heise Security , wie sich eine manipulierte hosts-Datei zum Pharming -- damals noch Phishing genannt -- ausnutzen lässt. Dazu muss allerdings erst ein Schadprogramm auf den Rechner des Users gelangen, um die Änderungen vorzunehmen. Das Computer Crime Research Center schlägt deshalb auch vor, dass Anti-Virus-Software oder ein hostbasiertes Intrusion Detection System aktiv die hosts-Datei überwacht, um einen solchen Angriff zu verhindern.
Seit dem Wochenende häufen sich Meldungen beim Internet Storm Center (ISC), dass Pharming nun auch mittels DNS-Cache-Poisoning geschieht. Beim DNS-Cache-Poisoning wird der DNS-Cache durch bestimmte Methoden mit präparierten Einträgen "vergiftet", indem man ihm schon vor einer Anfrage eine gefälschte Antwort schickt. Diese gefälschte Antwort wird im Cache des DNS gespeichert und bei Anfragen von Clients zurückgeliefert. Somit erreicht den User die falsche IP-Adresse für eine Domain, die in Wirklichkeit auf den Server des Angreifers verweist.
Da Cache-Poisoning-Angriffe seit langem bekannt sind, gibt es auch Methoden zur Abwehr. Kaum ein System lässt sich damit noch austricksen. Allerdings machen Fehlkonfigurationen und Schwachstellen auch heute noch Server und Caching-Proxies verwundbar. Welche DNS-Server-Versionen momentan mittels DNS-Cache-Poisoning angegriffen werden können, hält das ISC noch geheim. Nach ersten Erkenntnissen scheinen Symantec-Firewalls betroffen zu sein. Ein Fehler im DNS-Cache der Firewalls ist seit Mitte vergangenen Jahres bekannt; ein Patch steht seitdem auch zur Verfügung. Allerdings berichten nach Angaben des ISC einige Anwender, dass sie den Patch installiert hätten, aber trotzdem weiter verwundbar seien.
Update
Symantec hat einen Hotfix für seine Security Appliances und Enterprise Firewalls herausgegeben, der das Problem beheben soll.
Siehe dazu auch:
(eck)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
