1.5.6 Angriffe auf das Domain Name System

Das DNSDomain Name System stellt den wichtigsten Infrastrukturdienst im Internet dar. Ohne die Übersetzung von Namen in IPInternet Protocol-Adressen wäre das Internet so gut wie nicht mehr verwendbar, da man sich als Mensch viel besser symbolische Namen merken (bzw. durch eine Suchfunktion finden) kann als die Zahlenkombinationen in den IP-Adressen.

Eine Manipulation der DNS-Auflösung kann unbemerkt vom Nutzer erfolgen und so insbesondere zum Ausforschen von Login/Passwort-Kombinationen verwendet werden. In einem angenommen Fall sei die DNS-Auflösung manipuliert. Wenn der Nutzer dann eine Webseite aufruft, wird von der DNS-Auflösung eine falsche IP-Adresse zurückgeliefert. Unter dieser IP-Adresse könnten die Angreifer die Webseite, die der Nutzer eigentlichen aufrufen wollte, nachgebaut haben. Technisch stellt dieses im Bezug auf die Oberfläche keine große Schwierigkeit dar, da der Code zur Darstellung der Oberfäche geliefert wird, wenn man die richtige Webseite aufruft. Meldet sich der Nutzer nun mit Login und Passwort bei der nachgebauten Webseite an, erhalten die Angreifer die Login und Passwort-Kombination und können damit bei der richtigen Webseite die Identität des Nutzers annehmen.

Ein Mechanismus, der das ganze zumindest bei Seiten von Banken und anderen sehr kritischen Seiten verhindern soll, sind die Zertifikate der Internetseiten, hier die speziellen Extended Validation-Zertifikate. Diese werden nur an bestimmte Institutionen nach einem Prüfverfahren vergeben, so dass eine fehlende Zertifizierung in der Browserzeile angezeigt wird. Der Nutzer muss jedoch darauf achten, dass dann dieser grüne Balken in der Browserzeile fehlt.

Der DNSChanger Trojaner (entdeckt im November 2011) war ein Trojanisches Pferd, welches zu einer Manipulation der DNS-Einstellungen auf den betroffenen Rechnern führte. Die Angreifer lenkten die DNS-Anfragen der Rechner auf von ihnen betriebene DNS Server mit falschen Namensauflösungen um. Hierbei ging es den Angreifern darum, die Werbeanzeigen auf Webseiten zu manipulieren und eigene Werbung einzublenden. In der Spitze waren 4 Mio. Nutzer davon betroffen, wobei der erzielte Gewinn auf mindestens 14 Mio. Dollar geschätzt wird (die Kriminellen wurde jedoch in Estland verhaftet). Die Grafik der DNS Changer Working Group zeigt, dass es Monate lang dauerte, die Desinfektion durchzuführen. Das FBI sah sich gezwungen, die von den Kriminellen aufgesetzten Server noch einige Monate lang weiter zu betreiben, allerdings dann mit den richtigen Auflösungen. Man befürchtete, dass ansonsten viele Nutzer das Internet nicht vernünftig weiter nutzen könnten, da diese bei Schwierigkeiten nicht eine beseitigte Manipulation des DNS als Ursache vermuten würden.