Angeblich DDoS-Angriff auf United-Internet-Tochter
Ein Ausfall der DNS-Server von InternetX sorgt seit heute Mittag dafür, das zahlreiche Webseite nicht erreichbar sind. Eine Stellungnahme von InternetX steht bislang aus.
Seit etwa 13 Uhr sind die DNS-Server von InternetX kaum oder gar nicht zu erreichen. Dadurch ist der Zugriff auf viele Websites, die ihre DNS-Einträge dort hosten, nicht mehr möglich, sofern sich nicht noch Einträge im Cache befinden.
Über InternetX wickelt United Internet sein deutsches Resellinggeschäft ab. Rund 19.500 Reseller nutzen die Dienste von InternetX, wo mehr als 2,9 Millionen Domains liegen.
Die Hotline von InternetX ist kaum zu erreichen, zumal in Bayern, wo das Unternehmen seinen Sitz hat, heute Feiertag ist. In einer E-Mail an seine Reseller hat InternetX die Störung bestätigt. Demnach findet aktuell ein massiver DDoS-Angriff (Distributed Denial of Servcice Angriff) auf die Infrastruktur von InternetX statt. Dieser gilt insbesondere dem Nameserverpool. Auch Golem.de ist von der Störung betroffen.
Im November 2008 hatte es bereits ähnliche Probleme gegeben. Damals fand ein aggressiver DDoS-Angriff auf die Server von InternetX statt.
Quelle : www.golem.de
Am 15. Juli wurde ein laut Rod Beckstrom, Chef der ICANN (Internet Corporation for Assigned Names and Numbers) "historischer Schritt" in Sachen Internetsicherheit bewältigt: Die Rootzone des DNS wurde per DNSSEC gesichert. Auf dieser Grundlage können jetzt die Betreiber der Top Level Domains (TLDs) wie .de, .com oder .cn ihre Domains ebenfalls nach und nach auf DNSSEC umstellen.
"Die Rootzone ist signiert. Ist das Internet jetzt sicher?", fragte Beckstrom vor Kurzem auf der IT-Sicherheitskonferenz Black Hat 2010 in Las Vegas. Und antwortete: "Nein. Aber das Internet kann jetzt sicher werden." Dem ICANN-Chef zufolge sollen auf bisher zwölf DNSSEC-fähigen TLDs wie .co.uk, .org oder .br in den kommenden Wochen noch weitere Domains folgen.
Die TLD .net soll laut Beckstrom noch in diesem Jahr umgestellt werden, .com soll dem Verisign-Chef Mark McLaughlin zufolge dann bis März 2011 folgen. Auf Nachfrage von heise Securiy sagte Beckstrom: "Ich gehe davon aus, dass innerhalb der kommenden zwölf Monate die Top Level Domains DNSSEC-fähig sein werden, die zusammen 50 Prozent aller Domains ausmachen."
(http://www.heise.de/imgs/18/5/4/9/3/1/8/964bca786441dfa4.jpeg)
Damit DNSSEC auch von Betreibern von DNS-Servern und Internet Providern schnell angenommen wird, müssen brauchbare Tools bereit stehen. Mit gutem Beispiel voran gehen will das Unternehmen Recursion Ventures, in dem Dan Kaminsky als Chef-Wissenschaftler verantwortlich zeichnet.
Kaminsky entdeckte die schwerwiegende Lücke im DNS, die letztlich zum schnellen Einsatz des seit 18 Jahren entwickelten DNSSEC führte. Nachdem er DNSSEC erst als zu komplex und somit zu teuer abkanzelte, ist der Bug-Finder inzwischen ein erklärter Anhänger der Schutztechnik.
Der Hacker demonstrierte verschiedene auf DNSSEC basierende Tools, die vor allem den Einsatz der Technik erleichtern sollen. "Als ich den DNS-Bug präsentierte, war das Implementieren von DNSSEC eine Katastrophe und viel zu kompliziert. Heute kann eine Domain innerhalb von zwei Minuten DNSSEC-fähig werden", sagte Kaminsky.
Dafür sorgt das von Kaminsky vorgeführte DNSSEC-Tool Phreebird. Es akzeptiert auch über http getunnelte DNS-Anfragen. Damit sollen Probleme vermieden werden, wie sie beispielsweise in Hotel-Netzwerken oder öffentlichen WLAN-Hotspots auftauchen, wenn die zwischengeschaltete Hardware die über UDP übertragenen DNS-Pakete nicht ordentlich weiterleitet. Phreebird ist noch nicht öffentlich verfügbar. Kaminsky verschickt jedoch auf Anfrage eine frühe Beta-Version, die "voller fürchterlicher, auch remote ausnutzbarer Bugs" sei.
Weitere demonstrierte DNSSEC-Tools waren beispielsweise Phoxie, ein DNSSEC-Proxy für Browser wie Firefox oder Internet Explorer, oder Phreeload. Phreeload fügt die DNSSEC-Verfikation hinzu für openSSL-fähige Tools wie Apache, Curl, MySQL, Postfix, Postgress oder Wget. Die Phreeshell soll die Zusammenarbeit zwischen verschiedenen Gruppen erleichtern, indem sie den passwortlosen openSSH-Login auf Basis der Nutzeridentität ermöglicht, anstatt hierfür Keys zu verwenden.
Obwohl der sonst eher zu Jeans und schrillen Motiv-T-Shirts neigende Kaminsky seinen Black-Hat-Vortrag erstmals in einem Anzug bestritt, ist ihm das Hacken nicht fremd geworden. Er rief den anwesenden IT-Sicherheitsexperten zu: "Es ist Zeit, DNSSEC zu knacken. Ich hoffe, dass wir die Probleme schnell finden."
Quelle : www.heise.de