DNS-Spoofing
Was ist DNS-Spoofing?
Das DNS-Spoofing beziehungsweise das Cache-Poisoning stellen eine Form der Internetkriminalität dar. Sie umfasst eine Reihe von Methoden, mit denen Cyber-Angreifer Attacken auf Endbenutzer starten. Ziel des DNS-Spoofings ist es, unwissenden Internet-Nutzern Webseiten mit gefälschten oder vorgeblichen Inhalten zu liefern. Auf diese Weise können Nutzer zu unwissenden Mittätern werden. Dies wirft die Fragen auf, wie diese spezielle Form des Spoofings funktioniert und wie Endnutzer sich effizient dagegen zur Wehr setzen können.
Überblick und Allgemeines
Das DNS-Spoofing ist bereits seit einigen Jahren bekannt und sorgte insbesondere zur Anfangszeit des Internets für Probleme. Internetkriminelle finden in immer kürzeren Abständen neue Mittel und Wege, um nichtsahnende Internetnutzer für ihre Zwecke auszunutzen. In den jüngsten Jahren haben einige ältere Formen der Internetkriminalität wieder an Popularität gewonnen. Auch das DNS-Spoofing gehört zu den Methoden, die sich zuletzt unter Cyber-Angreifern wieder zunehmender Verwendung erfreuen. Das DNS-Spoofing hat in der Frühphase des Internets besonders die Naivität der Internet-User ausgenutzt, die gutgläubig bestimmte Seiten aufgerufen haben. Das Wissen um Sicherheit im Internet war deutlich weniger verbreitet und Sicherheitsexperten waren seltener anzutreffen als heute.
Gefälschte Daten auf Ihrem Computer
DNS-Spoofing gibt es seit der Anfangszeit des Internets. Mit der zunehmenden Komplexität und der höheren Vorsicht der User hat DNS-Spoofing einen Wandel erfahren. Im Kern geht es darum, gefälschte Daten auf den Computer eines Webseiten-Besuchers zu laden. Mindestens geht es darum, dem Besucher falsche Inhalte (etwa im Bereich Finanzen oder Anlage) zu präsentieren oder an die Daten der User zu gelangen.
Ziel der Hacker und Angreifer ist meist ein Zugriff auf die Daten der Besucher. Im Mindesten besteht das Ziel darin, Nutzern die gefälschten Inhalte der Seite zu präsentieren. Da Internetseiten häufig primäre Informationsquelle zu bestimmten Themengebieten für Nutzer sind, ist der Manipulationsspielraum groß. Viele Nutzer informieren sich zu sensiblen Fragen vorrangig im Internet. Geht es etwa um Finanzen und Anlagestrategien, kann durch die Ausspielung gefälschter Inhalte hoher persönlicher Schaden entstehen.
Die große Reihe von Angriffs-Methoden unter der Bezeichnung DNS-Spoofing hat bestimmte gemeinsame Eigenschaften. In all diesen Angriffen geht es um die Ersetzung der Informationen, die auf DNS-Servern hinterlegt sind. Der Server-Cache wird unter Zuhilfenahme eines zusätzlichen (falschen) Records manipuliert. Für das DNS-Spoofing als letztliches Ziel eines Angriffs kommen mehrere Methoden und Szenarien in Frage.
Neben dem DNS-Cache-Poisoning sind auch IMSI-Catcher und Man-in-the-Middle-Attacken wichtige Bedrohungen. Ebenso können Sicherheitssysteme der DNS-Server kompromittiert werden. Das DNS-Spoofing kann sich als Attacke auch unmittelbar gegen die Internetnutzer richten. Hierbei können etwa Adressen von DNS-Servern im Router oder im Betriebssystem durch gefälschte ersetzt werden. Im Normalfall werden DNS-Server vom Internet-Provider vorgegeben. Ebenso besteht die Möglichkeit, den Router selbst individuell zu konfigurieren.
Daher ist es möglich, dass ein Hacker oder Angreifer Zugriff auf einen Registereintrag erlangt und diesen manipulieren kann. Der Internet-Service-Provider stuft den Cache als vertrauenswürdig ein. Bei einer gelingenden Attacke wird der Cache auch dann als vertrauenswürdig deklariert, wenn der Registereintrag manipuliert wurde.
In diesem Falle ist er mit einer nicht zugehörigen Webseite, meist eine Fake-Webseite, verknüpft. In einem solchen Falle des Cache-Poisonings erfolgt nicht die gewünschte Weiterleitung des Traffics an die reguläre IP-Adresse. Bei der Auflösung des Domain-Namens kommt es zur Weiterleitung an eine andere IP-Adresse, da diese Adresse ausgetauscht worden ist. Diese Form von Cache-Poisoning lässt sich nur unter höherem technischem Aufwand umsetzen als Spoofing-Attacken auf Heim-PCs- oder -Router.
Im Rahmen des DNS-Cache-Poisoning stellt die Ausbreitung ein besonderes Problem dar. Die Attacke breitet sich auf mehrere unterschiedliche DNS-Server aus. Im Zuge dessen können auch Heim-Systeme und Router betroffen sein. Dies betrifft dann ebenso den bereits existierenden Cache im DNS-System des Nutzers. Router erhalten die verbreitete manipulierte oder gefälschte Information. Der lokale Cache wird dabei um die gefälschte Information ergänzt oder durch diese ersetzt.
Kommt es zu einer DNS-Spoofing-Attacke, verschaffen sich Internet-Kriminelle zunächst Zugriff auf einen solchen Nameserver. Er greift die Konfiguration an beziehungsweise manipuliert diese. Auf diese Weise werden nicht nur die ursprünglichen und gewünschten Informationen der Internetseite geliefert, wenn sie aufgerufen wird. Die vom Nameserver ausgehenden Daten werden auf dem PC des Users gespeichert, weshalb sich der Rechner des Anwenders später noch an diese Daten erinnert und sie nutzt.
Ruft der User nun später eine andere Internetseite auf, kommen die durch das DNS-Spoofing gelieferten Daten ins Spiel. Diese bewirken, dass er auf einer anderen als der gewünschten Seite landet. Diese Fake-Seiten befinden sich unter dem Einfluss der Angreifer. Meistens sind sie so gestaltet, dass sie der gewünschten Seite auf den ersten Blick stark ähneln.
Besonders kritisch wird dies, wenn es sich um Seiten handelt, die mit sensiblen Daten arbeiten. Ein Beispiel wäre der Log-in im Online-Banking. Gibt ein Nutzer seine Daten ein, können Angreifer auf die Daten auf den manipulierten Seiten zugreifen und sie für ihre Zwecke nutzen. Aufgrund der hohen Ähnlichkeit der Fake-Internetseiten zu den Originalen geschieht dies ohne Mitwissen des Anwenders, da die Unterschiede nur schwer zu identifizieren sind.
Aufgrund gefälschter Seiten und der Möglichkeit, sensible Daten abzufangen, sind nicht nur Passwörter sondern beispielsweise auch Kreditkartendaten gefährdet. Auch die Seiten von IT-Security-Anbietern können betroffen sein. In diesem Falle sind zusätzliche Bedrohungen möglich, da keine erforderlichen Sicherheitsmaßnahmen mehr erfolgen. So wird der Einfall von Viren, Würmern und Trojanern erleichtert.
Gefahrenabwehr und Maßnahmen gegen DNS-Spoofing
Als eine der frühen Bedrohungen aus der Anfangszeit des Internets werden dem DNS-Spoofing mehrere Arten von Abwehrmaßnahmen entgegengesetzt. Eine der Methoden umfasst die Verschlüsselung sensibler Daten und Inhalte. Ein anderer Entwurf setzt beim Nameserver direkt an. Dieser sendet im Rahmen einer DNS-Anfrage mehrere Informationen zufälliger Art mit. Da diese Zufallsinformationen dem potentiellen Angreifer nicht bekannt sind und er sie erst erraten müsste, bewirkt diese Abwehrstrategie einen deutlichen Zugewinn an Schutz vor DNS-Spoofing-Attacken.
Sollte es doch zu einer erfolgreichen DNS-Spoofing-Attacke kommen, so ist die Beseitigung problematisch, da der infizierte Server und der Rechner der Benutzer betroffen sind. Auch ein bereinigter PC ist beim Aufbau einer Verbindung zu einem infizierten Server wiederum betroffen.
Fazit:
PC-Anwender selbst können durch umsichtiges Verhalten dazu beitragen, Cache-Poisoning und andere Formen von DNS-Spoofing zu vermeiden. Regelmäßige Sicherheits-Scans des Computers auf Bedrohungen und Schadsoftware sowie das Vermeiden unbekannter Links oder unsicherer Webseiten tragen dazu bei, die Gefahren abzuwehren beziehungsweise gar nicht erst entstehen zu lassen. Auf Webseiten tragen Zertifikate wie etwa HTTPS dazu bei, sichere Seiten zu erkennen.
Sie haben noch Fragen?