Letztes Wochenende wurde die Domain des Providers Panix (panix.com) vom rechtmässigen Inhaber und Registrar wegtransferiert. Zwei weitere Domain-Diebstähle haben ebenfalls stattgefunden (siehe diesen eWeek-Artikel welcher auf einen Artikel auf einer ICANN-Mailingliste verweist — interessanterweise finden sich in deutschsprachigen Tech-Publikationen kaum Artikel zu dem Thema).
Es gibt drei Fragen, die sich im Zusammenhang mit dem Diebstahl stellen: 1) Wie konnte das passieren? 2) Warum dauerte es so lange, bis die Situation bereinigt wurde? 3) Was ist die Motivation der Diebe?
Die Frage nach der Motivation kann leichter beantwortet werden, wenn es auf die ersten beiden Fragen eine befriedigende Antwort gibt. Der Registrar, zu welchem die Domain transferiert wurde (Melbourne IT), hat nach einer ersten, arroganten und abschätzigen Reaktion dann doch noch reagiert und hat die Situation nach dem Wochenende bereinigt und mit einem Statement auf der NANOG Mailingliste ein bisschen zur Klärung beigetragen.
Durch eine nicht näher spezifizierte Sicherheitslücke bei MelbourneIT konnten der oder die Täter über einen Reseller von MelbourneIT die Domain ohne die sonst üblichen Benachrichtigungen an Domain-Inhaber und aktuellen Registrar (Dotster) übernehmen. Angeblich hat MelbourneIT diese Lücke in der Zwischenzeit geschlossen.
(Angesichts der unübersichtlichen Lage und Entwicklung im Registry- und Registrar-Geschäft ist zu erwarten, dass andere Registrare oder Registries ähnliche Probleme haben, und dass MelbourneIT gut daran täte, nach einer gewissen Frist den “Full Disclosure”-Ansatz zu wählen.)
Der Zeitpunkt des Domain-Diebstahls war sehr geschickt aus Sicht der Diebe: unterschiedliche, weit auseinander liegende Zeitzonen (.au, .uk, .us); MelbourneIT ist am Wochenende schlicht und einfach geschlossen; der Reseller scheint eine eher dubiose Firma zu sein, die kaum über technisch kompetentes Personal verfügt. Das kann Zufall sein, obwohl mir das eher unwahrscheinlich erscheint.
Nun können wir uns der spannenden Frage zuwenden: Was ist die Motivation für diesen Domaindiebstahl? In verschiedenen Diskussionen, so etwa auf NANOG, standen vier Möglichkeiten im Vordergrund:
- “Weil es möglich ist”. Jemand wollte seine Findigkeit möglichst publikumswirksam demonstrieren oder sich schlicht an den Auswirkungen seines Vandalentums ergötzen.
- Ein politisches Statement gegen die .com-Registry, Verisign.
- Webtraffic “entführen”, um die eigenen Werbeeinnahmen/Clicks zu erhöhen.
- Identitätsdiebstahl: Erschleichen von Passwörtern, Namen, Adressen und ähnliches.
- Rache, Vergeltungsschlag, persönliche Differenzen.
Keine dieser Möglichkeiten erscheint mir unplausibel. Das politische Statement gegen den Abzockerhaufen Verisign ist sogar sehr plausibel, gerade Angesichts der laufenden Verhandlungen um die Neuvergabe der .net-Registry.
Ich sehe aber eine weitaus grössere Gefahr, und die geht mal wieder von Spammern und ihrem kriminellen Umfeld aus. Für diese These spricht auch die Tatsache, dass für den Diebstahl der Domain eine gestohlene (oder gefälschte?) Kreditkarte verwendet wurde.
Domain- und Hostnamen sind ein eminent wichtiger Bestandteil von Sicherheit und Vertrauen im Internet. Mein Telebanking, zum Beispiel, läuft auf unter https://telebank1.ubs.com/. Das Serverzertifikat enthält das Attribut “CN = telebank1.ubs.com”. Wenn es mir gelingt, die Kontrolle über die Domain “ubs.com” zu erlangen, steht mir ein weites Feld offen.
Ähnlich verhält es sich – und nun kommen die Spammer ins Spiel – bei E-Mail. Ziel-Mailserver werden über DNS bestimmt. DNS-Blacklists basieren, wie der Name schon sagt, auf DNS. Whitelisting basiert sehr häufig auf Domainnamen.
Im heiligen Informationssicherheitsdreigespann von Identifikation: “Wer ist es?”, Authentifikation: “Ist er es?” und Authorisation: “Darf er es?” übernimmt der Domainname (respektive das DNS-System) häufig zwei Rollen: Identifikation und Authentifikation. Aus Sicherheitsüberlegungen ist es eine schlechte Idee, diese zwei Funktionen so nahe zusammen zu legen. Dieser Ansatz ist in sehr vielen Bereichen ausreichend, besonders da er “billig” und effizient ist. Angesichts der finanziellen und aufmerksamkeitsökonomischen Interessen, die mit Domainnamen mittlerweile verbunden sind, müsste das überdacht werden.
Aber zurück zu den Spammern. Diese benötigen Domains für Absenderadressen und für beworbene URLs, Host- und Domainnamen. Einer der am weitesten verbreiteten Spamfilter, SpamAssassin, hat seit Version 3.0 sehr wirkungsvolle Algorithmen und Funktionen, die auf Host- und Domainnamen abzielen. Einerseits werden die hinter den Hostnamen steckenden IP-Adressen (und die IP-Adressen der Nameserver) gegen Blacklists geprüft, und andererseits werden die Host- und Domainnamen als Text ebenfalls mit schwarzen Listen abgeglichen. Ein weiterer Ansatz ist, das Alter einer Domain (dh. das Registrierungsdatum) als Indikator zu verwenden.
Es besteht für Spammer und andere Kriminelle also ein starker Anreiz, gut eingeführte Domains von hoher Reputation zu übernehmen, in der Hoffnung, so besser durch Filter zu kommen, respektive das auf Domainnamen basierende Reputationssystem bis zur Unbrauchbarkeit zu stören.
Das sind meiner Ansicht nach die Lehren, welche die Netzgemeinschaft aus den Vorfällen rund um panix.com ziehen sollte:
- Das auf Domainnnamen basierende Reputationssystem ist im Visier von Spammern und anderen Kriminellen. Die gute Botschaft daraus: es scheint so gut zu funktionieren, dass es ein lohnenswertes Anschlagsziel ist.
- Das System der Registries und Registrare als Trusted (Delegated) Third Parties funktioniert für die .com-Domain ungenügend. Die kommerziellen Interessen von Verisign sind unvereinbar mit den Anforderungen an einen sicheren, vertrauenswürdigen Betrieb.
- Die schwache Authentisierung innerhalb des Registrierungs- und Transferprozesses ist nicht risiko-adäquat.
