ICANN warnt vor Angriffen auf die DNS-Infrastruktur des Internets
Die ICANN (Internet Corporation for Assigned Names and Numbers) macht sich aktuell Sorgen: So haben laut der Organisation größer angelegte Angriffe auf die DNS-Infrastruktur des Internets stark zugenommen. So habe es in den letzten Monaten verstärkt Attacken gegeben, welche wohl auf Hacker aus dem Iran zurückgehen. Allerdings gibt es auch länger zurückliegende Angriffe, die man wohl erst jetzt entdeckt hat.
Über die DNS-Infrastruktur werden numerische Internetadressen, die sich freilich kein Mensch merken wollen würde, in konkrete Domain-Namen übertragen. Genau an diesem Punkt setzen eben nun verstärkt Cyber-Kriminelle an. Dabei kommen laut ICANN unterschiedliche Methoden zum Einsatz. Zuvor hatten bereits Sicherheitsexperten und auch manche Regierungen ähnliche Warnungen ausgesprochen.
Die erwähnten Hacker aus dem Iran etwa hatten im Iran großflächig DNS-Daten gekapert, um auf eigentlich seriöse Web-Adressen Umleitungen zu legen. So wollte man die Nutzer auf eigene Server ziehen, um ihnen z. B. Passwörter zu stehlen. Man visierte damit aber nicht unbedingt Otto-Normalverbraucher an, sondern vielmehr z. B. die Regierungen im Libanon und den Vereinigten Arabischen Emiraten. Auch US-Behörden sollen aber Opfer der Angriffe geworden sein.
Laut dem leitenden technischen Verantwortlichen der ICANN, David Conrad, haben es die Hacker derzeit auf die Internet-Infrastruktur an sich abgesehen. Man ruft Domain-Besitzer daher dazu auf DNSSEC zu verwenden – sicherer als DNS und schwieriger zu manipulieren. Allerdings verläuft die Adaption sehr schleppend und liegt bei den größten Websites offenbar im niedrigen, einstelligen Prozentbereich. Auch Google versucht DNSSEC voranzutreiben und die Einbindung zu erleichtern.
„Man ruft Domain-Besitzer daher dazu auf DNSSEC zu verwenden – sicherer als DNS und schwieriger zu manipulieren.“
Das ist leichter gesagt als getan, da noch längst nicht alle Hoster das auch unterstützen.
Dann wirds aber mal Zeit, das dennoch einzuschalten, damit die Hoster das dann auch implementieren.
Kann doch nicht sein, das man damit wartet, nur weil irgendwelche Hoster zu faul sind.
Als Domeininhaber kann man da aber nichts einschalten, wenn der Domain- und/oder der Webspace-Hoster es nicht entsprechend zur Verfügung stellen. Und die meisten kleineren Domaininhaber werden deswegen bestimmt nicht ihre Hoster wechseln oder gar einen eigenen Server aufsetzen, weil die Alternativen schlicht nicht bezahlbar bzw. auch der Arbeits-Aufwand einen eigenen Server zu betreiben unverhältnismäßig hoch ist.
Einen Domain-Hoster zu wechseln ist jetzt nun wirklich nicht die Welt. Beim Webspace stimme ich dir je nach Projektumfang aber zu.
So lange der Webspace-Hoster kein DNSSEC und DANE bietet, bringt es nichts den Domain-Hoster zu wechseln und ich kenne keinen Webspace-Hoster der eine vergleichbare Spielwiese wie Uberspace zu ähnlich günstigen Preisen und dazu noch DNSSEC und DANE bietet. Ich warte daher lieber erstmal weiter ab.
„Über die DNS-Infrastruktur werden numerische Internetadressen, die sich freilich kein Mensch merken wollen würde, in konkrete Domain-Namen übertragen.“
Das ist zwar nicht falsch, aber diese Richtung ist eigentlich gar kein so prominentes Feature von DNS. Eigentlich kümmert sich DNS insb. darum, Domain-Namen in numerische Internetadressen (IP-Adressen) aufzulösen. Der Rückweg spielt für viele Nutzer gar keine so große Rolle (geht aber natürlich auch).
Irgendwie habe ich auf einen derartigen Klugscheisser Kommentar gewartet 😉
Und irgendwie muss ich auch gerade an Sheldon Lee „Moonpie“ Cooper denken. 😀
DNSSEC ist aber auch nur die halbe Lösung. Solange DNS-Reflection Angriffe im mittleren GBit Bereich auftreten und damit auch große DNS-Server in die Knie zwingen.
Das wäre doch mal was.. Alle DNS-infizieren das sie ausfallen.. Juhu wir sind wieder in den 80igern bzw. Anfang der 90iger ohne Internet .. Dieses Geräusch wenn man über eine Uniplatform gechatet hat und sich vorher mit seinem 33,6 k modem eingewählt hat.. tüdtüd tü Pipie Piep
Stimmt das eigentlich das es wirklich nur 8 Schlüssel gibt für das Internet um die Zentralen DNS-Server neu zustarten?