Es hätte ein spannender, großer und unterhaltsamer Auftritt werden sollen, den Dan Kaminsky in der kommenden Woche bei der "Black Hat"-Sicherheitskonferenz in Las Vegas absolvieren wollte. Der Entdecker des "DNS-Bugs" wollte eingehend über die Bedrohung des Internet referieren und nähere Details bekanntgeben; doch nun haben die Ereignisse Dan Kaminksy überrollt.

Das Internet ist noch immer verletzlich

In den letzten Wochen sickerten immer mehr Details und schlussendlich auch ein Exploit zum "Domain Name System" (DNS)-Bug an die Öffentlichkeit. Die Hersteller, die sich der Gefahr entweder nicht bewusst waren oder einfach zu spät reagierten, hetzen nun den AngreiferInnen hinter her. Die Lücken schließen, bevor die Angriffe erfolgen lautet die Devise. Doch für Dan Kaminsky sind die gesetzten Taten zu wenig. Wie die New York Times berichtet, schätzt der Security-Experte, dass immer noch 41 Prozent des Internet über diese Sicherheitslücke verwundbar sind.

Eine Tour der Leiden

Seit März ist Kaminsky in den USA unterwegs um die Hersteller auf die Sicherheitsproblematik aufmerksam zu machen und Lösungsansätze zu erarbeiten. Für Kaminsky sind die Unternehmen jedoch zu langsam unterwegs. Eindringlich warnt er Unternehmen vor einem Abwarten und weist auf die Gefahren hin. Er selbst habe sich schon überlegt, ob er vielleicht zu spät informiert habe, angesichts der Tatsache, dass viele Firmen schlicht und einfach nicht zu hören wollten, eine sinnlose Überlegung.

Ausführliche Erklärung birgt Gefahren

Wenn Dan Kaminsky in der kommenden Woche vor seinen ZuhörerInnen steht, um auf die Gefahren hinzuweisen und den AdministratorInnen Möglichkeiten aufzuzeigen, wie sie sich schützen können, dann werden zwangsläufig auch mögliche AngreiferInnen ihr Wissen erweitern. Jede ausführliche Erklärung birgt potenzielle Gefahren, allerdings müssen gleichzeitig auch möglichst viele AdministratorInnen vor den potenziellen Bedrohungen gewarnt werden. Reagieren die SicherheitsexpertInnen zu langsam, so droht der Diebstahl persönlicher Informationen und Passwörter. Daher müssen die SicherheitsexpertInnen nun dazu beitragen, die NetzwerkadministratorInnen von der Wichtigkeit entsprechender Vorgehensweisen zu überzeugen. "Wir brauchen einen Notfallplan, und wir müssen besorgt sein", so Kaminsky gegenüber der New York Times.

Von Zahlen und Nummern

Die Lücke, die Dan Kaminsky entdeckte, könnte am einfachsten als ein "automatisches Telefonbuch" bezeichnet werden, dass die menschenfreundlichen Adressen wie etwa "google.com" in die maschinenlesbaren numerischen Angaben umwandelt. Doch dummerweise ermöglicht eine Lücke, dass sich AngreiferInnen im Telefonbuch einhacken können und die Umwandlung zwischen Mensch-und-Maschinen-Code verändern können, um UserInnen auf manipulierte Webseiten umzulenken. Zahlreiche Berichte im Web zeigen, dass entsprechende Attacken bereits stattfinden.

Kein einfaches Unterfangen

Die Absicherung der Systeme und das Schließen der Lücken klingt jedoch einfacher, als es in der Realität ist. "Ich habe den Leuten beim Patchen zugesehen, und erkannt dass es keine einfache Aufgabe ist", so Dan Kaminsky im Interview. Die Lücke entdeckte Kaminksy im Februar, mehr als 20 Jahre blieb die Schwachstelle im Herzstück des Internet unentdeckt. Wenig später informierte er Paul Vixie, einen Software-Ingenieur, der das Internet Systems Consortium betreut und für die Wartung von BIND, der am weitesten verbreiteten Software für Domain Name Server, ist. IM März trafen sich in Redmond, Seattle, im Microsoft Hauptquartier, zahlreiche RepräsentantInnen namhaften Unternehmen und Sicherheits-ExpertInnen, um über die weitere Vorgehensweise und die Möglichkeiten im Kampf gegen die Lücke zu diskutieren.

Richtige Vorgehensweise

Aus seiner Sicht war die Vorgehensweise absolut richtig, so Kaminsky. Nur eine offene Diskussion und das Aufmerksam machen auf Sicherheitslücken kann zu einer Änderungen in der Patch-Politik der Konzerne und zu mehr Sicherheit für die AnwenderInnen und das Internet als Gesamtes führen, meint Kamniksy. "Ich hätte gerne mehr Zeit gehabt, aber ich hatte nur 13 Tage für eine Lösung. Ich bin stolz darauf", so Kaminsky. In der kommende Woche wird sich zeigen, ob man das Problem in den Griff bekommen hat, oder aber die AngreiferInnen wieder einmal schneller waren.(red)