Vor kurzem hat Anonymous (wobei bekannt ist, dass Anonymous keine homogene Gruppe ist und jede/r eine "Aktion" vorschlagen kann) angekündigt, die Root DNS Server angreifen zu wollen. Hier die Ankündigung.

Frage: Müssen wir uns davor fürchten, dass das Internet zusammenbricht? Antwort: Nach derzeitigem Wissensstand vermutlich nicht.

Frage: was sind die DNS Root server? Und warum sind sie relevant? Antwort: In kürze kann man sagen, dass die DNS Root Server so was wie die wichtigsten Einträge im globalen Domain "Telefonbuch" sind. Wenn ein Rechner am Internet die IP Adresse eines anderen finden möchte, fragt er das DNS System.

Längere Antwort: die DNS Root Server (benannt nach den Buchstaben A-M, ursprünglich 13 Server) hosten die sogenannte "Root DNS Zone". Das ist die Konfiguration, die anderen Servern und Rechnern am Internet sagt, an welche anderen DNS Server sie sich wenden müssen, wenn zB die IP Adresse zum Domain Namen "CERT.at" gesucht wird. Der Root Server würde sagen, dass es sich anscheinend um eine .AT domaine handelt, und dass der Anfragende doch die .AT Domain Server fragen soll. Dann geht das Spiel weiter und der Anfragende schickt ein "Query" Paket an die .AT DNS Server. Usw.

Frage: und was will jetzt Anonymous mit den DNS Root Servern machen? Antwort: laut Ankündigung wollen sie einen sogenannten DNS Amplification Attack gegen die Root DNS Server fahren. Das heisst, dass sie diese Server mit vielen Paketen überlasten wollen. Hierbei werden diese Pakete nicht direkt dorthin geschickt sondern ("amplification"/"redirection") über offene rekursive DNS Server gespielt.

Frage: und wenn sie erfolgreich sind, was dann? Antwort: theoretisch - wenn der Angriff erfolgreich wäre -  dann hätte unter anderem auch Anonymous kein gut funktionierendes DNS System mehr. Das heisst, wenn Anonymous sich untereinander unterhalten will, wird es auch für Anonymous schwer sein, sich alle IP Adressen von allen Servern im Kopf zu merken. Googlen oder Surfen wird sehr sehr mühsam. Für alle.

Man könnte auch sagen - Anonymous sägt am eigenen Ast, auf dem sie selbst sitzen.

Weitere Informationen:

Errate Security's Analyse, was bei dem Angriff realistisch sein kann und was nicht.

Team Cymru hat eine schöne live-Statistik über die Root DNS Server.

Autor: L. Aaron Kaplan

Es wird zum Thema Cyberwar und Cybersecurity viel heiße Luft produziert. Ich finde es daher ausgesprochen erfrischend, einen sehr fundierten Artikel dazu im Heeresmagazin "Truppendienst" zu finden.

Wenn ich schon beim Verlinken bin: als Gegenstimme zu diversen Cyberwar Paranoikern finde ich Marcus Ranum interessant.

Autor: Otmar Lendl

Um Neujahr herum wurde ein altes Problem wieder aufgewärmt: Man kann durch gezielte Hash-Collisions einen DoS-Angriff gegen Webserver fahren, indem man POST-Requests mit sehr vielen Parametern absetzt. Viele Web-Frameworks speichern diese CGI-Parameter in assoziativen Arrays und diese haben ein schlechtes Worst-Case-Verhalten, wenn die Schlüsselwerte absichtlich ungünstig gewählt werden.

PHP hat prompt reagiert und einen Patch herausgebracht. Dieser hat sich inzwischen als fehlerhaft herausgestellt weil er das Einschleusen und Ausführen von Code erlaubt.

Oops.

Der Fix dafür ist jetzt erhältlich. Diese Episode zeigt aber ganz gut, dass die Reaktionszeit auf Sicherheitslücken nicht das einzige Kriterium ist: auch die Korrektheit des Patches ist relevant. Es gibt einen Grund, warum kommerzielle Softwareanbieter ein rigoroses Testprogramm für Updates fahren. Ja, das kostet Zeit, spart aber hoffentlich solche Gotchas wie wir es gerade von PHP gesehen haben.

Autor: Otmar Lendl

Vor rund einem Jahr konnte nic.at die 1-Millionste .at-Domain begrüßen, und heute haben wir im CERT ein rundes Jubiläum zu feiern:

Die tägliche Mail mit den vom DNSChanger betroffenen IP-Adressen im Netz von T-Mobile ging mit der Ticket-Nummer 100.000 an das dortige Abuse-Team.

Wir sind jetzt fast vier Jahr in Betrieb (April 2008 war Start des Testbetriebs). Dieses runde Ticket-Jubiläum ist eine gute Gelegenheit, ein bisschen zurückzuschauen, was wir uns in den vier Jahren erarbeitet haben.

Wir hatten den DNS/Kaminsky-GAU, Conficker und die Anonymous Hacks. Wir wurden vom Nobody zu einem anerkannten Sicherheitszentrum. Sowohl innerhalb Österreichs, als auch in der Community der CERTs. War es anfangs noch schwierig, Öffentlichkeitsarbeit zu machen, so rufen uns jetzt die Journalisten an, wenn es Stories zu IT-Sicherheitsthemen zu machen gilt.

Kurz: wir sind stolz auf das, was wir bereits erreicht haben.

Es wird noch mehr kommen -- denn dass uns die Arbeit ausgehen wird, ist leider nicht zu hoffen. Es bleibt spannend.

Autor: Otmar Lendl