Internet
Gift im Netz
Eine gefährliche Sicherheitslücke im DNS-Cachesystem erinnert daran, dass das Internet selbst gestrickt und im Kern attackierbar ist
Nach Panik hörte sich das nicht an. Vor zwei Wochen informierten das nationale Sicherheitsteam der USA (US-CERT) und andere Sicherheitsexperten die Öffentlichkeit über ein "kritisches Design-Problem, das diverse Domain-Name-Service-Implementierungen" betrifft. Ein IT-Spezialist namens Dan Kaminsky hatte eine Lücke entdeckt, durch die Bösewichter das sogenannte DNS-Cachesystem angreifen könnten.
Das klang eher wie eine der zahllosen Sicherheitswarnungen im Internet, zumal es fast nur Internet Service Provider betraf, also nicht den gemeinen User. Ein bisschen verdächtig war dann allerdings schon, dass wichtige Internetfirmen wie Microsoft, Cisco und das Internet Systems Consortium umgehend Warnungen aussprachen und („important!“) Sicherheitsupdates empfahlen. Tatsächlich ist die Sache ein sicherheitstechnischer Ernstfall – sie trifft das Internet an seiner empfindlichsten Stelle.
Um zu verstehen, was es mit dieser möglichen „Vergiftung des DNS-Cache“ auf sich hat, lohnt ein Blick auf die Geschichte des Internets. Die Technik, die das Internet ermöglicht, ist nämlich auf ausgesprochen unverbindlicher Basis geschaffen worden. Es gibt in der Tat alles andere als allgemein verbindliche Spezifikationen und Standards. Stattdessen Tausende kleiner Beschreibungen, wie etwas im Internet funktionieren sollte. Diese sogenannten RFCs beschreiben alles, angefangen von E-Mail (anfangs: RFC 822, heute RFC 2822) bis hin zur – kein Witz! – Datenübertragung von Internetpaketen mittels Brieftauben (RFC1149). Man sollte sich dabei vergewärtigen, was "RFC" bedeutet: "Request for Comment", also "Einladung zur Kommentierung". Nicht unbedingt ein Name für einen verbindlichen weltweiten Standard.
Ohne Zweifel war und ist das Internet eine Spielwiese, die noch heute an ihren ursprünglichen Zielen krankt. Einerseits wünschte das Militär ein Netzwerk, welches selbst dann noch funktioniert, wenn wesentliche Teile durch den Feind vernichtet wurden - ein Ziel übrigens, welches so umfassend nie erreicht wurde. Die Wissenschaftler dagegen brauchten das Netz für einen schnellen und einfachen Austausch von Daten und Informationen, später auch für die leistungssteigernde Zusammenschaltung von Computern. Alles Ziele, die nicht so viel mit Datensicherheit oder Datenschutz zu tun haben. Ziemlich naiv setzt man auf "Vertrauen" im Internet. Oder – im Falle des Militärs - auf Abschottung. Die Wissenschaftler glaubten derweil an die wissenschaftliche Community und Transparenz.
Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets spürt jeder Nutzer heute ständig. E-Mails, deren Absender nicht zweifelsfrei ermittelt werden können, was die Grundlage für Werbung und Spam bildet. Die Zugriffsmöglichkeit von jedem Rechner auf jeden anderen Rechner im Internet, die durch Sicherheitsfilter - Firewalls - erst verhindert werden müssen und vieles mehr. Zwar werden immer wieder Sicherheitsprobleme entdeckt und beseitigt. Doch das Stopfen der Lücken ähnelt den Mühen eines Bauunternehmens, das ein Iglu geplant hat und dieses nun in der Sahara betreibt. Und dabei mit immer mehr technischen Maßnahmen das Schmelzen des Eises verhindern will.
Wirklich gefährlich wird es dann, wenn Kernelemente des Internets manipuliert werden können wie in dem aktuellen Fall der DNS-Server. Diese garantieren nämlich die Grundlagen der Kommunikation im Netz. Der Domain Name Service ist so etwas wie das Telefonbuch des Internets.
- Datum 25.7.2008 - 18:03 Uhr
- Seite 1 | 2 | 3 | Auf einer Seite lesen
- Quelle ZEIT online
- Kommentare 10
- Empfehlen E-Mail verschicken | Bookmarks
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
war das wieder informativ .... und wer in teufels namen hat das patent an DNSSEC ?? ... ne spaas bei seite hier sind die sicherheitsrisiken von dnssec aufgelistet : das net wird immer nur so sicher sein wie die realitaet : gar nicht.
Hi,das sollte eigentlich so etwas meine Botschaft sein. Sicherheitsloecher wird es immer geben, und sie werden auch gestopft werden und das ist sinnvoll. Das gab es immer und das wird es immer geben. Es gibt auch Tuerschloesser, die leichter knackbar sind als andere. Und viele geben dem Kellner im Restaurant auch ihre Kreditkarte mit und "vertrauen" ihm, wenn er damit zur Kasse geht. Ans Internet wird (manchmal) etwas unrealistische Anforderungen erhoben, die die selben Leute in der physikalischen Welt nicht erheben.Aber es gibt auch welche, die sagen das Internet ist sicher. Das ist aber falsch. Die urspruenglich gemachte Grundidee des Internets, steckt heute noch in allen zentralen Komponenten. Auch DNSSEC wird nur ein Teil der Probleme kaschieren, vielleicht paar wenige loesen, mehr aber auch nicht.Das Internet wird nie sicher sein, dazu muesste man alles wegwerfen und neu machen. Und das dauert Jahrzehnte. Man muss halt eben auch mal sagen "Die Nutzung des Internets ist mit Risiken verbunden, wobei ein Restrisiko systembedingt bleiben wird". :-)Terra
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Jeder Rechner im Internet hat eine eigene Nummer, die IP-Adresse. Die sieht beispielsweise so aus: 192.168.31.10.Nein so ganz bestimmt nicht. Dies ist eine private IP-Adresse die werden im Internet nicht geroutet.Genug besser gewusstzeit98789
Leider sind die Zufallszahlen die in DNS-Requests benutzt werden nicht 16-stellig sondern haben 16 Bit. Das sind maximal 5 Ziffern. Die Patches fuer das aktuelle Problem sorgen dafuer, das der Source-Port der DNS-Requests nicht immer der gleiche ist sondern auch zufaellig. Damit erreicht man dann zusammen mit der Zufallszahl im Request ungefaehr 32 Bit, was aber immer noch keine 16 Dezimalstellen sind (hoechstens 10).
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Es ist müssig, über Sicherheit des Internets zu sprechen. Internet kann genauso wenig "sicher" sein wie Wasser "sicher" ist und Luft "sicher " ist.Wenn Internet als Transportmittel gesehen wird, benötigt es selber keine Sicherheit. Sicherheit können nur Methoden bringen, die abgestuft nach gewünschtem Sicherheitslevel entsprechend eingesetzt werden.Diese Methoden erfordern nur entsprechenden Aufwand, was vom Anwender manchmal als recht lästig angesehen wird.
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Hallo liebe Zeit Ganz so schlimm ist das mit dem Internet nun auch nicht. Bei RFC1149 empfiehlt sich vorher ein Blick auf das Datum ;-)http://www.ietf.org/rfc/rfc1149.txt
Bitte melden Sie sich an, um zu kommentieren