Internet Gift im Netz
Eine gefährliche Sicherheitslücke im DNS-Cachesystem erinnert daran, dass das Internet selbst gestrickt und im Kern attackierbar ist
Nach Panik hörte sich das nicht an. Vor zwei Wochen informierten das nationale Sicherheitsteam der USA (US-CERT) und andere Sicherheitsexperten die Öffentlichkeit über ein "kritisches Design-Problem, das diverse Domain-Name-Service-Implementierungen" betrifft. Ein IT-Spezialist namens Dan Kaminsky hatte eine Lücke entdeckt, durch die Bösewichter das sogenannte DNS-Cachesystem angreifen könnten.
Das klang eher wie eine der zahllosen Sicherheitswarnungen im Internet, zumal es fast nur Internet Service Provider betraf, also nicht den gemeinen User. Ein bisschen verdächtig war dann allerdings schon, dass wichtige Internetfirmen wie Microsoft, Cisco und das Internet Systems Consortium umgehend Warnungen aussprachen und („important!“) Sicherheitsupdates empfahlen. Tatsächlich ist die Sache ein sicherheitstechnischer Ernstfall – sie trifft das Internet an seiner empfindlichsten Stelle.
Um zu verstehen, was es mit dieser möglichen „Vergiftung des DNS-Cache“ auf sich hat, lohnt ein Blick auf die Geschichte des Internets. Die Technik, die das Internet ermöglicht, ist nämlich auf ausgesprochen unverbindlicher Basis geschaffen worden. Es gibt in der Tat alles andere als allgemein verbindliche Spezifikationen und Standards. Stattdessen Tausende kleiner Beschreibungen, wie etwas im Internet funktionieren sollte. Diese sogenannten RFCs beschreiben alles, angefangen von E-Mail (anfangs: RFC 822, heute RFC 2822) bis hin zur – kein Witz! – Datenübertragung von Internetpaketen mittels Brieftauben (RFC1149). Man sollte sich dabei vergewärtigen, was "RFC" bedeutet: "Request for Comment", also "Einladung zur Kommentierung". Nicht unbedingt ein Name für einen verbindlichen weltweiten Standard.
Ohne Zweifel war und ist das Internet eine Spielwiese, die noch heute an ihren ursprünglichen Zielen krankt. Einerseits wünschte das Militär ein Netzwerk, welches selbst dann noch funktioniert, wenn wesentliche Teile durch den Feind vernichtet wurden - ein Ziel übrigens, welches so umfassend nie erreicht wurde. Die Wissenschaftler dagegen brauchten das Netz für einen schnellen und einfachen Austausch von Daten und Informationen, später auch für die leistungssteigernde Zusammenschaltung von Computern. Alles Ziele, die nicht so viel mit Datensicherheit oder Datenschutz zu tun haben. Ziemlich naiv setzt man auf "Vertrauen" im Internet. Oder – im Falle des Militärs - auf Abschottung. Die Wissenschaftler glaubten derweil an die wissenschaftliche Community und Transparenz.
Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets spürt jeder Nutzer heute ständig. E-Mails, deren Absender nicht zweifelsfrei ermittelt werden können, was die Grundlage für Werbung und Spam bildet. Die Zugriffsmöglichkeit von jedem Rechner auf jeden anderen Rechner im Internet, die durch Sicherheitsfilter - Firewalls - erst verhindert werden müssen und vieles mehr. Zwar werden immer wieder Sicherheitsprobleme entdeckt und beseitigt. Doch das Stopfen der Lücken ähnelt den Mühen eines Bauunternehmens, das ein Iglu geplant hat und dieses nun in der Sahara betreibt. Und dabei mit immer mehr technischen Maßnahmen das Schmelzen des Eises verhindern will.
Wirklich gefährlich wird es dann, wenn Kernelemente des Internets manipuliert werden können wie in dem aktuellen Fall der DNS-Server. Diese garantieren nämlich die Grundlagen der Kommunikation im Netz. Der Domain Name Service ist so etwas wie das Telefonbuch des Internets.
- Datum 25.07.2008 - 19:03 Uhr
- Seite 1 | 2 | 3 | Auf einer Seite lesen
- Quelle ZEIT online
- Kommentare 9
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
war das wieder informativ .... und wer in teufels namen hat das patent an DNSSEC ?? ... ne spaas bei seite hier sind die sicherheitsrisiken von dnssec aufgelistet : das net wird immer nur so sicher sein wie die realitaet : gar nicht.
Hi,das sollte eigentlich so etwas meine Botschaft sein. Sicherheitsloecher wird es immer geben, und sie werden auch gestopft werden und das ist sinnvoll. Das gab es immer und das wird es immer geben. Es gibt auch Tuerschloesser, die leichter knackbar sind als andere. Und viele geben dem Kellner im Restaurant auch ihre Kreditkarte mit und "vertrauen" ihm, wenn er damit zur Kasse geht. Ans Internet wird (manchmal) etwas unrealistische Anforderungen erhoben, die die selben Leute in der physikalischen Welt nicht erheben.Aber es gibt auch welche, die sagen das Internet ist sicher. Das ist aber falsch. Die urspruenglich gemachte Grundidee des Internets, steckt heute noch in allen zentralen Komponenten. Auch DNSSEC wird nur ein Teil der Probleme kaschieren, vielleicht paar wenige loesen, mehr aber auch nicht.Das Internet wird nie sicher sein, dazu muesste man alles wegwerfen und neu machen. Und das dauert Jahrzehnte. Man muss halt eben auch mal sagen "Die Nutzung des Internets ist mit Risiken verbunden, wobei ein Restrisiko systembedingt bleiben wird". :-)Terra
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Leider sind die Zufallszahlen die in DNS-Requests benutzt werden nicht 16-stellig sondern haben 16 Bit. Das sind maximal 5 Ziffern. Die Patches fuer das aktuelle Problem sorgen dafuer, das der Source-Port der DNS-Requests nicht immer der gleiche ist sondern auch zufaellig. Damit erreicht man dann zusammen mit der Zufallszahl im Request ungefaehr 32 Bit, was aber immer noch keine 16 Dezimalstellen sind (hoechstens 10).
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Es ist müssig, über Sicherheit des Internets zu sprechen. Internet kann genauso wenig "sicher" sein wie Wasser "sicher" ist und Luft "sicher " ist.Wenn Internet als Transportmittel gesehen wird, benötigt es selber keine Sicherheit. Sicherheit können nur Methoden bringen, die abgestuft nach gewünschtem Sicherheitslevel entsprechend eingesetzt werden.Diese Methoden erfordern nur entsprechenden Aufwand, was vom Anwender manchmal als recht lästig angesehen wird.
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Hallo liebe Zeit Ganz so schlimm ist das mit dem Internet nun auch nicht. Bei RFC1149 empfiehlt sich vorher ein Blick auf das Datum ;-)http://www.ietf.org/rfc/r...
Wie wärs, wenn Sie sich über Dinge auslassen, von denen Sie auch was verstehen? Dieses Thema jedenfalls bleibt Ihnen offenkundig verschlossen.Das RFC-System wurde so genannt aus Respekt vor den damaligen Proofessoren, weil die der Materie ebenso fremd waren wie Sie es sind. Seit 1976 FreeBSD 1.0 als erstes UNIX mit integriertem TCP/IP-Stack das Licht der Welt erblickte, war die Entwicklung des Internets eine Angelegenheit von Studenten und nicht von Professoren. Also mussten die Normen entsprechend "studentisch" benannt und verbreitet werden. Deshalb also Request for Comments. Das RFC-System ist die Normengrundlage für die gesamte OpenSource-Community und es funktioniert ohne einen bürokratischen Wasserkopf Brüsseler Ausmasses.Ansonsten: Die Lösung des Problems mit DNS und IP-Räumen ist vorhanden, implementiert und bekannt. Jetzt käme der schwierigste Teil: Die politische Durchsetzung von IPv6 auf europäischer Ebene. Da bewegt sich zwar was - aber das kann man von der Kontinentaldrift auch sagen.Übrigens weiss wirklich jeder erstzunehmende ITler, dass der Brieftauben-RFC ein Aprlscherz war...Alles, was gesagt werden kann, kann klar gesagt werden -
Ludwig Wittgenstein
Bitte melden Sie sich an, um zu kommentieren