Menü
Security

Dan Kaminsky: "Es ist Zeit, DNSSEC zu knacken"

vorlesen Drucken Kommentare lesen 46 Beiträge

Am 15. Juli wurde ein laut Rod Beckstrom, Chef der ICANN (Internet Corporation for Assigned Names and Numbers) "historischer Schritt" in Sachen Internetsicherheit bewältigt: Die Rootzone des DNS wurde per DNSSEC gesichert. Auf dieser Grundlage können jetzt die Betreiber der Top Level Domains (TLDs) wie .de, .com oder .cn ihre Domains ebenfalls nach und nach auf DNSSEC umstellen.

"Die Rootzone ist signiert. Ist das Internet jetzt sicher?", fragte Beckstrom vor Kurzem auf der IT-Sicherheitskonferenz Black Hat 2010 in Las Vegas. Und antwortete: "Nein. Aber das Internet kann jetzt sicher werden." Dem ICANN-Chef zufolge sollen auf bisher zwölf DNSSEC-fähigen TLDs wie .co.uk, .org oder .br in den kommenden Wochen noch weitere Domains folgen.

Die TLD .net soll laut Beckstrom noch in diesem Jahr umgestellt werden, .com soll dem Verisign-Chef Mark McLaughlin zufolge dann bis März 2011 folgen. Auf Nachfrage von heise Securiy sagte Beckstrom: "Ich gehe davon aus, dass innerhalb der kommenden zwölf Monate die Top Level Domains DNSSEC-fähig sein werden, die zusammen 50 Prozent aller Domains ausmachen."

DNSSEC-Verfechter: Mark McLaughlin von Verisign und Dan Kaminsky, Hacker und DNS-Experte, setzen große Stücke auf DNSSEC.

(Bild: Uli Ries)

Damit DNSSEC auch von Betreibern von DNS-Servern und Internet Providern schnell angenommen wird, müssen brauchbare Tools bereit stehen. Mit gutem Beispiel voran gehen will das Unternehmen Recursion Ventures, in dem Dan Kaminsky als Chef-Wissenschaftler verantwortlich zeichnet.

Kaminsky entdeckte die schwerwiegende Lücke im DNS, die letztlich zum schnellen Einsatz des seit 18 Jahren entwickelten DNSSEC führte. Nachdem er DNSSEC erst als zu komplex und somit zu teuer abkanzelte, ist der Bug-Finder inzwischen ein erklärter Anhänger der Schutztechnik.

Der Hacker demonstrierte verschiedene auf DNSSEC basierende Tools, die vor allem den Einsatz der Technik erleichtern sollen. "Als ich den DNS-Bug präsentierte, war das Implementieren von DNSSEC eine Katastrophe und viel zu kompliziert. Heute kann eine Domain innerhalb von zwei Minuten DNSSEC-fähig werden", sagte Kaminsky.

Dafür sorgt das von Kaminsky vorgeführte DNSSEC-Tool Phreebird. Es akzeptiert auch über http getunnelte DNS-Anfragen. Damit sollen Probleme vermieden werden, wie sie beispielsweise in Hotel-Netzwerken oder öffentlichen WLAN-Hotspots auftauchen, wenn die zwischengeschaltete Hardware die über UDP übertragenen DNS-Pakete nicht ordentlich weiterleitet. Phreebird ist noch nicht öffentlich verfügbar. Kaminsky verschickt jedoch auf Anfrage eine frühe Beta-Version, die "voller fürchterlicher, auch remote ausnutzbarer Bugs" sei.

Weitere demonstrierte DNSSEC-Tools waren beispielsweise Phoxie, ein DNSSEC-Proxy für Browser wie Firefox oder Internet Explorer, oder Phreeload. Phreeload fügt die DNSSEC-Verfikation hinzu für openSSL-fähige Tools wie Apache, Curl, MySQL, Postfix, Postgress oder Wget. Die Phreeshell soll die Zusammenarbeit zwischen verschiedenen Gruppen erleichtern, indem sie den passwortlosen openSSH-Login auf Basis der Nutzeridentität ermöglicht, anstatt hierfür Keys zu verwenden.

Obwohl der sonst eher zu Jeans und schrillen Motiv-T-Shirts neigende Kaminsky seinen Black-Hat-Vortrag erstmals in einem Anzug bestritt, ist ihm das Hacken nicht fremd geworden. Er rief den anwesenden IT-Sicherheitsexperten zu: "Es ist Zeit, DNSSEC zu knacken. Ich hoffe, dass wir die Probleme schnell finden." (Uli Ries) / (rei)