Das Security and Stability Advisory Committee (SSAC) der ICANN hat sich in einem gestern vorgestellten Papier (PDF) vehement gegen „künstliche DNS-Antworten“ und DNS-Umleitungen ausgesprochen, wie sie das am Donnerstag verabschiedete Internetzensurgesetz vorschreibt. Zwar fokussiert das Papier primär auf Wildcardumleitungen seitens der Top-Level-Domains (TLD), jedoch stellte Co-Autor und SSAC-Mitglied Jaap Akkerhuis gegenüber heise online klar, dass auch die Stopp-Schilder gegen kinderpornografische Seiten eine Art von Wildcarding seien. Zu den Autoren zählt ferner DNS-Guru Paul Vixie, der seit 1988 maßgeblich an der Entwicklung des DNS-Servers BIND beteiligt ist.

„Wir empfehlen der ICANN, alle möglichen Schritte gegenüber den verantwortlichen Stellen zu unternehmen, um eine solche Nutzung zu verbieten“, heißt es in dem Papier, das damit seine Kritik gegen TLD-Betreiber richtet. Weiter schreiben die Autoren: „Wir empfehlen der ICANN ebenfalls, unsere Vorbehalte gegenüber Dritten bekanntzumachen, die in der Lage sind, unabhängig von der ICANN zu arbeiten, um sicherzustellen, dass die Gefahren, die sich aus Umleitungen und künstlichen Antworten ergeben, nicht nur von den TLDs, sondern auch von untergeordneten DNS-Hierarchien verstanden werden. Diese sollen die Konsequenzen sorgfältig abwägen und Maßstäbe setzen, die die Integrität von DNS-Antworten sowohl im Fehler- als auch im Erfolgsfall gewährleisten“.

Das SSAC beschäftige sich bereits seit 2004 mit DNS-Umleitungen und künstlichen DNS-Antworten. Bereits damals habe man in einer Analyse (PDF) dargelegt, dass Umleitungen eine Reihe bis dahin funktionierender Dienste gestört hätten. So hätten beispielsweise einige E-Mail-Dienste und Spamfilter direkt oder indirekt Kosten verursacht in Form von erhöhtem Netzwerktraffic, eingeschränkter Performance oder Arbeitsaufwand, der durch die Behebung von Fehlfunktionen entstanden sei.

Im Verlauf des Jahres 2007 hätten Sicherheitsforscher damit begonnen, unbeabsichtigte Nebenwirkungen des „wachsenden Fehlerauflösungsmarktes“ zu ermitteln, der versuche, aus falsch eingetippten Domains Kapital zu schlagen. In Deutschland geben unter anderen T-Online und Kabel Deutschland künstliche DNS-Antworten zurück, wenn sich ein Anwender beim Domainnamen vertippt. Browsernutzer landen dann auf der Suchmaschine des Providers. Andere Dienste würden durch diese absichtlich falsche Antwort möglicherweise gestört. Die Sicherheitsforscher, vor allem Dan Kaminsky, hätten darüber hinaus zusätzliche Exploits entdeckt, die durch DNS-Umleitungen erst möglich werden.

Im Januar 2008 habe man in der Analyse Vorläufiger Bericht über Veränderungen von DNS-Antworten (PDF) dargelegt, wie DNS-Antwortveränderungen Dienste jenseits des World Wide Web stören könnten, unter anderem E-Mail und Internet-Telefonie. Dabei verursachten DNS-Umleitungen im schlimmsten Fall eine DoS-Attacke gegen Unbeteiligte.


Ein Vertipper führt durch DNS-Manipulation auf die „Kabel Deutschland DNS Assistance“. Das soll die eigene Suchmaschine fördern, birgt aber die Gefahr von Störungen. Die DNS-Sperren des Zensursula-Gesetzes arbeiten nach dem gleichen technischen Prinzip (Screenshot: ZDNet).

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

4 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago