Die Nachricht von anscheinend „gehackten Webseiten“ namhafter Firmen der IT-Sicherheitsbranche verbreitete sich schnell auf Twitter und anderen Kanälen. Schnell wurde jedoch klar, dass die Webseiten nicht gehackt, sondern die Mitarbeiter zweier Domain-Registrare auf fast unglaubliche Weise ausgetrickst und so DNS-Einträge manipuliert wurden. Als Verursacher der dreisten Angriffe gilt das KDMS Team.
Webseiten weltweit bekannter Unternehmen wurden durch die Angriffe des KDMS Teams vorübergehend unerreichbar gemacht: Alexa.com, AVG, Avira, Bitdefender, ESET, Leaseweb, Metasploit, Rapid7, Redtube und auch WhatsApp zählten zu den aktuellen Opfern. Der Internet-Verkehr zu den Webseiten wurde durch die DNS-Manipulation umgeleitet, auf die Server der Angreifer. Dort hinterlegten sie politisch motivierte Botschaften, die die unfreiwilligen Besucher zu sehen bekamen. Eine Malware-Attacke auf die Besucher wurde nicht ausgeführt, wäre aber technisch auf verschiedene Arten ebenfalls denkbar gewesen.
Wie konnte das passieren?
HD Moore, Chef-Forscher bei Rapid7 und Gründer des Metasploit Projekts, dokumentierte die Zeit in der die Webseiten von Rapid7 und Metasploit nicht erreichbar waren über seinen Twitter-Account und stand Forscherkollegen Rede und Antwort über die Geschehnisse. Schier unfassbar schien dabei der Tweet, den er am 11. Oktober um 06.31 Uhr aussendete:
Die Mitarbeiter der Registrarfirma Register.com hatten offenbar ein Fax als Medium akzeptiert, um DNS-Einträge zu bestimmten Domains zu ändern. Eine Nachprüfung auf Echtheit des Faxes scheint nicht stattgefunden zu haben. „Vielleicht haben sie die auf dem Fax angegebene Telefonnummer [zur Verifikation] angerufen“, kommentiert Moore später. Zu Recht spottet er über die Situation mit den Worten: „Hacken wie damals, in 1964“, auch wenn er die Kreativität der Angreifer honoriert, wird er selbst darüber nicht wirklich lachen können. Umgangssprachlich werden Situationen wie diese im Netz als „Epic FAIL“ bezeichnet.
In den anderen Fällen des DNS-Hijacking sei es ebenfalls zu einer Art Spear-Phishing Attacke gekommen, in der bei der Registrarfirma Network Solutions das Zurücksetzen des Passwortes beantragt wurde und dies offenbar nicht rechtmäßig vom Besitzer der Domains, sondern von den Angreifern.
Social Engineering vs. Technische Attacke
An diesem Beispiel wird erneut deutlich, dass Sicherheitskonzepte für Firmen aber auch im Privatanwenderbereich auf verschiedensten Ebenen durchdacht sein müssen. Die Angriffe waren nicht technischer Natur im Sinne von Malware oder dem Ausnutzen von Sicherheitslücken, sondern hier wurde die Schwachstelle Mensch als Angriffspunkt gewählt und durch Social Engineering ausgetrickst. Hier helfen Schulungen, Fachwissen und Aufmerksamkeit als Gegenmaßnahme.
Viel verheerender jedoch: Selbst wenn das Sicherheitskonzept einer Firma oder auch eines privaten Systems nahezu lückenlos aufgestellt ist, gibt es Abhängigkeiten außerhalb des eigenen Einflussbereichs, wie in diesem Fall den Domain-Registrar.
Ohne den Bogen zu weit ziehen zu wollen, ist dieser Zusammenhang eine Analogie zu den aktuell diskutierten Spionagefällen rund um PRISM, Tempora und Co.: Das eigene System/Netzwerk kann integer und sicher sein. Ist jedoch die Möglichkeit gegeben, Daten nicht aus dem sicheren System/Netzwerk ausspionieren zu müssen, sondern an einer externen Schnittstelle (ISP; Mail-Provider; …), ist man an dieser Stelle als Betroffener nahezu machtlos. Diesen Zusammenhang gilt es immer zu berücksichtigen, wenn ein ganzheitliches Sicherheitskonzept umgesetzt werden soll, in dem auf den Einsatz von Ende-zu-Ende Verschlüsselung, VPN-Verbindungen, etc. nicht verzichtet werden sollte.
G DATA leistet seinen Beitrag zur Sicherung persönlicher und geschäftlicher Daten nach den strengen Deutschen Richtlinien und Gesetzen! Daher ist das Bochumer Softwareunternehmen unter anderem mit dem Qualitätssiegel IT-Security Made in Germany ausgezeichnet und bietet nach wie vor garantierte IT-Sicherheit ohne Hintertüren.