Internet Gift im Netz

Eine gefährliche Sicherheitslücke im DNS-Cachesystem erinnert daran, dass das Internet selbst gestrickt und im Kern attackierbar ist

Nach Panik hörte sich das nicht an. Vor zwei Wochen informierten das nationale Sicherheitsteam der USA (US-CERT) und andere Sicherheitsexperten die Öffentlichkeit über ein "kritisches Design-Problem, das diverse Domain-Name-Service-Implementierungen" betrifft. Ein IT-Spezialist namens Dan Kaminsky hatte eine Lücke entdeckt, durch die Bösewichter das sogenannte DNS-Cachesystem angreifen könnten.

Das klang eher wie eine der zahllosen Sicherheitswarnungen im Internet, zumal es fast nur Internet Service Provider betraf, also nicht den gemeinen User. Ein bisschen verdächtig war dann allerdings schon, dass wichtige Internetfirmen wie Microsoft, Cisco und das Internet Systems Consortium umgehend Warnungen aussprachen und („important!“) Sicherheitsupdates empfahlen. Tatsächlich ist die Sache ein sicherheitstechnischer Ernstfall – sie trifft das Internet an seiner empfindlichsten Stelle.

Um zu verstehen, was es mit dieser möglichen „Vergiftung des DNS-Cache“ auf sich hat, lohnt ein Blick auf die Geschichte des Internets. Die Technik, die das Internet ermöglicht, ist nämlich auf ausgesprochen unverbindlicher Basis geschaffen worden. Es gibt in der Tat alles andere als allgemein verbindliche Spezifikationen und Standards. Stattdessen Tausende kleiner Beschreibungen, wie etwas im Internet funktionieren sollte. Diese sogenannten RFCs beschreiben alles, angefangen von E-Mail (anfangs: RFC 822, heute RFC 2822) bis hin zur – kein Witz! – Datenübertragung von Internetpaketen mittels Brieftauben (RFC1149). Man sollte sich dabei vergewärtigen, was "RFC" bedeutet: "Request for Comment", also "Einladung zur Kommentierung". Nicht unbedingt ein Name für einen verbindlichen weltweiten Standard.

Ohne Zweifel war und ist das Internet eine Spielwiese, die noch heute an ihren ursprünglichen Zielen krankt. Einerseits wünschte das Militär ein Netzwerk, welches selbst dann noch funktioniert, wenn wesentliche Teile durch den Feind vernichtet wurden - ein Ziel übrigens, welches so umfassend nie erreicht wurde. Die Wissenschaftler dagegen brauchten das Netz für einen schnellen und einfachen Austausch von Daten und Informationen, später auch für die leistungssteigernde Zusammenschaltung von Computern. Alles Ziele, die nicht so viel mit Datensicherheit oder Datenschutz zu tun haben. Ziemlich naiv setzt man auf "Vertrauen" im Internet. Oder – im Falle des Militärs - auf Abschottung. Die Wissenschaftler glaubten derweil an die wissenschaftliche Community und Transparenz.

Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets spürt jeder Nutzer heute ständig. E-Mails, deren Absender nicht zweifelsfrei ermittelt werden können, was die Grundlage für Werbung und Spam bildet. Die Zugriffsmöglichkeit von jedem Rechner auf jeden anderen Rechner im Internet, die durch Sicherheitsfilter - Firewalls - erst verhindert werden müssen und vieles mehr. Zwar werden immer wieder Sicherheitsprobleme entdeckt und beseitigt. Doch das Stopfen der Lücken ähnelt den Mühen eines Bauunternehmens, das ein Iglu geplant hat und dieses nun in der Sahara betreibt. Und dabei mit immer mehr technischen Maßnahmen das Schmelzen des Eises verhindern will.

Wirklich gefährlich wird es dann, wenn Kernelemente des Internets manipuliert werden können wie in dem aktuellen Fall der DNS-Server. Diese garantieren nämlich die Grundlagen der Kommunikation im Netz. Der Domain Name Service ist so etwas wie das Telefonbuch des Internets.

Domains verwendet man zum Beispiel für den Versand von E-Mail. Wer eine E-Mail an terra@aragorn.uni-oldenburg.de schickt, wird vielleicht annehmen, dass sich die Daten den Weg ähnlich suchen, wie die Briefe die durch die Post transportiert werden. Die Briefe gehen nach Deutschland (de), dann an die Universität in Oldenburg und dort zu einen Rechner namens aragorn, auf den sich der Empfänger (terra) befindet. In Wirklichkeit ähnelt der Datentransport im Internet eher dem Telefon. Jeder Rechner im Internet hat eine eigene Nummer, die IP-Adresse. Die sieht beispielsweise so aus: 192.168.31.10. Da solche Nummern schwer zu merken sind, gibt es ein „Telefonbuch“. Wenn man am PC eine Adresse wie meinrechner.republik.de eingibt, dann sieht der PC in einem weltweiten Telefonbuch nach, welche Internetnummer dieser hat.

Nun kann man sich vorstellen, dass mit Milliarden von Computern und anderen Internetgeräten dieses Telefonbuch sehr groß, aber auch sehr schnell sein müsste. Darüber hinaus würde ein zentrales Telefonbuch dem Gedanken der Ausfallsicherheit zuwiderlaufen. Daher gibt es viele, kleine Telefonbücher. Jeder Internet Service Provider, die meisten Firmen, so gut wie alle Universitäten, aber auch viele andere Organisationen betreiben solche Telefonbücher – das eben sind die Domain Name Server (DNS).

Um die Sache noch komplizierter zu machen, gibt es zu den "primären" auch noch „sekundäre“ Telefonbücher, Kopien, die möglichst nicht im gleichen Netz liegen sollen. So kann es vorkommen, dass die Telefonbuchkopie einer neuseeländischen Firma sich beispielsweise in Deutschland befindet, oder die Universität Oldenburg ihre Kopie in Berlin hat. Übrigens werden die Telefonbücher immer und ständig abgefragt. Wenn eine Webseite benutzt wird, dann sind da lauter Texte, Bilder, Werbung und vieles mehr. Und für jedes einzelne dieser Elemente muss der Computer erneut die "Telefonnummer" nachsehen.

Um das ununterbrochen Nachschlagen in Internettelefonbüchern zu erleichtern, werden im Internet genauso wie auf dem persönlichen PC "Kopien" der Antworten der Telefonbücher abgelegt. Dies sind sogenannte "Caches", also Zwischenspeicher. Für eine gewisse Zeit merken sie sich Antworten der DNS-Server und vergessen sie dann wieder. Diese Kopien stellen ein gravierendes Sicherheitsproblem dar: Woher weiß man, dass sie echt sind? Mittels falscher Kopien könnten Bösewichter Anfragen auf ihre (gefälschten) Seiten umleiten.

Man stelle sich vor, man sieht in einem Telefonbuch nach "Bundeskanzlerin Angela Merkel" und jemand hat dort die Telefonnummer ausgetauscht gegen jene von Kurt Beck. Das wäre noch zu verkraften. Schlimmer ist, wenn aus www.zeit.de vielleicht die Webseite eines Betrügers würde, der Falschmeldungen verbreiten will. Viele Szenarien sind denkbar, die noch weiter gehen: Passwörterdiebstahl, Kreditkartenklau, all das könnte so sehr leicht möglich werden.

Sicherheitshalber hat man auf einen Trick zurückgegriffen. Wenn man einen DNS-Server fragt, denkt sich der Computer eine 16-stellige Zufallsnummer aus und erwartet von dem DNS-Server eine Antwort, die sich daraus errechnet. Der Empfänger kann so überprüfen, ob die Nachricht echt ist. Eine gute Idee. Es wäre sehr aufwendig für einen Gauner, Antworten mit allen möglichen Zufallsnummern zu generieren. So wird das Risiko jedenfalls stark reduziert.

Allerdings – und hier setzten die Warnungen des Sicherheitsspezialisten Dan Kaminsky an, sind Computer überaus schlecht darin zu raten. Dafür wurden sie nicht erfunden. "Echten" Zufall zu berechnen, ist für sie eine sehr schwierige Aufgabe. Denn jede Formel, die Zahlen produziert, bleibt eine Formel. Und wie jeder in der Schule lernt, dienen Formeln dazu, Ergebnisse nachvollziehbar zu berechnen.

Die Kaminsky-Lücke: Schon kleine Fehler können dazu dienen, dass ein eventueller Fälscher von DNS-Antworten gar nicht mehr alle – in diesem Fall - 16-stelligen Zufallszahlen berücksichtigen muss. Damit ist das DNS-System nicht nur theoretisch, sondern ganz praktisch anfällig.

Die Folgen einer erfolgreichen Telefonbuchattacke wären möglicherweise fatal. Zumindest nervenaufreibend zu nutzen oder sogar unbenutzbar würde das Internet, wenn man ständig in die Irre geleitet würde. Es ginge nicht nur um Kettenbriefe und Virenvermehrung oder die Möglichkeit zum Betrug. Wettbewerbern oder ganzen Nationen könnte schwerer wirtschaftlicher Schaden zugefügt werden. Die Lust am Stören wird gerade im Internet schnell zur Lust am Zerstören.

Für das Problem gäbe es eine Lösung, nämlich DNSSEC, ein Kryptosystem, das sicher verhindert, dass DNS-Nachrichten auf dem Transportweg verfälscht wurden. Allerdings ist das weltweite Interesse an DNSSEC relativ gering. Die Liste der Länder, die die Vorbereitungen für die Einführungen abgeschlossen haben, ist kurz: Brasilien, Schweden, Bulgarien, Puerto Rico und die Midway-Inseln. Vorbereitende Tests für die Einführung finden in Mexiko, Taiwan, Japan, Russland, dem Vereinigten Königreich und in Frankreich statt. In Deutschland ist nur die Firma IKS Jena mit einem inoffiziellen Projekt registriert.

Die weltweite Einführung von DNSSEC ist keineswegs sicher, die Debatte über Notwendigkeit und Kosten/Nutzen-Relation ist schon alt. Immerhin wurde sie durch die aktuelle Sicherheitslücke wieder mal angeheizt.