Forscher konnte kompletten WHOIS-Dienst der .mobi-TLD kapern
Der Sicherheitsforscher Benjamin Harris, Gründer der Firma WatchTowr, hat auf bemerkenswerte Weise eine gravierende Nachlässigkeit eines TLD-Registrars ausfindig gemacht, durch die quasi all seine Kunden in Probleme hätten geraten können.
Diese Adresse war vor einiger Zeit für den offiziellen WHOIS-Server für die Top-Level-Domain .mobi genutzt worden. Nachdem der Dienst allerdings zu einer anderen Domain umgezogen war, ließ der ursprüngliche Eigentümer die Domain verfallen. Harris, der sich auf der Black Hat Sicherheitskonferenz in Las Vegas befand, bemerkte diesen Umstand und registrierte die Domain kurzerhand neu. So konnte er einen eigenen WHOIS-Server für .mobi aufsetzen.
Innerhalb weniger Stunden erhielt sein Server nun Anfragen von über 76.000 IP-Adressen. In den darauffolgenden fünf Tagen kamen etwa 2,5 Millionen Anfragen von rund 135.000 Systemen hinzu. Unter den Anfragestellern befanden sich große Internetfirmen, Domain-Registrare, Anbieter von Sicherheitstools, Regierungsstellen, Universitäten und Zertifizierungsstellen. Diese Abfragen zeigten, dass die meisten Systeme weiterhin fälschlicherweise auf die veraltete Domain zugriffen.
Die Auswirkungen seiner Entdeckung gehen jedoch noch weiter. Da viele E-Mail-Server und Anti-Spam-Dienste bei jeder eingehenden E-Mail eines .mobi-Absenders den manipulierten WHOIS-Server abfragten, hätte Harris auch den E-Mail-Verkehr über längere Zeiträume hinweg überwachen können. Harris erklärte, dass diese Sicherheitslücke ein grundlegendes Problem aufzeige: "Die Integrität der Sicherheitsprozesse, auf die sich Internetnutzer verlassen, ist extrem fragil", sagte er.
Siehe auch:
Alte Domain ergattert
Mit nur 20 Dollar Einsatz und mit ein paar Minuten Aufwand erlangte er die Kontrolle über Datenverkehr, der es ihm ermöglichte, gefälschte HTTPS-Zertifikate zu erstellen, E-Mail-Aktivitäten zu überwachen und potenziell auf tausenden Servern beliebigen Code auszuführen. Es genügte der Zufall, dass er die Domain dotmobiregistry.net registrieren konnte, berichtet Watchtowr (via Ars Technica).Diese Adresse war vor einiger Zeit für den offiziellen WHOIS-Server für die Top-Level-Domain .mobi genutzt worden. Nachdem der Dienst allerdings zu einer anderen Domain umgezogen war, ließ der ursprüngliche Eigentümer die Domain verfallen. Harris, der sich auf der Black Hat Sicherheitskonferenz in Las Vegas befand, bemerkte diesen Umstand und registrierte die Domain kurzerhand neu. So konnte er einen eigenen WHOIS-Server für .mobi aufsetzen.
Innerhalb weniger Stunden erhielt sein Server nun Anfragen von über 76.000 IP-Adressen. In den darauffolgenden fünf Tagen kamen etwa 2,5 Millionen Anfragen von rund 135.000 Systemen hinzu. Unter den Anfragestellern befanden sich große Internetfirmen, Domain-Registrare, Anbieter von Sicherheitstools, Regierungsstellen, Universitäten und Zertifizierungsstellen. Diese Abfragen zeigten, dass die meisten Systeme weiterhin fälschlicherweise auf die veraltete Domain zugriffen.
Fragile Sicherheit
Harris befüllte die WHOIS-Datenbank seines Servers mit fehlerhaften Daten, die auf watchtowr.com verwiesen, und fügte humorvoll ASCII-Art hinzu. Doch die Konsequenzen seiner Entdeckung sind ernst: Er erhielt eine E-Mail von der Zertifizierungsstelle GlobalSign, die ihm den Erhalt eines Verifizierungslinks an die manipulierte Adresse whois@watchtowr.com anbot. Harris stoppte das Experiment aus ethischen Gründen an dieser Stelle, doch er betonte, dass er damit theoretisch in der Lage gewesen wäre, gefälschte Zertifikate zu erstellen und mit diesen verschiedene Angriffe durchzuführen, wie etwa das Abfangen von Datenverkehr.Die Auswirkungen seiner Entdeckung gehen jedoch noch weiter. Da viele E-Mail-Server und Anti-Spam-Dienste bei jeder eingehenden E-Mail eines .mobi-Absenders den manipulierten WHOIS-Server abfragten, hätte Harris auch den E-Mail-Verkehr über längere Zeiträume hinweg überwachen können. Harris erklärte, dass diese Sicherheitslücke ein grundlegendes Problem aufzeige: "Die Integrität der Sicherheitsprozesse, auf die sich Internetnutzer verlassen, ist extrem fragil", sagte er.
Zusammenfassung
- Benjamin Harris entdeckte Sicherheitslücke bei TLD-Registrar
- Mit 20 Dollar Kontrolle über kritische Datenverkehrswege erlangt
- Registrierte freigewordene Domain dotmobiregistry.net neu
- Setzte eigenen WHOIS-Server für .mobi auf, erhielt Millionen Anfragen
- Große Internetfirmen und Regierungsstellen betroffen
- Hätte gefälschte HTTPS-Zertifikate erstellen können
- Experiment aus ethischen Gründen gestoppt, zeigte Sicherheitsrisiken auf
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon