ICANN-Sicherheitskomitee verurteilt DNS-Sperren

Das Security and Stability Advisory Committee (SSAC) der ICANN hat sich in einem gestern vorgestellten Papier (PDF) vehement gegen „künstliche DNS-Antworten“ und DNS-Umleitungen ausgesprochen, wie sie das am Donnerstag verabschiedete Internetzensurgesetz vorschreibt. Zwar fokussiert das Papier primär auf Wildcardumleitungen seitens der Top-Level-Domains (TLD), jedoch stellte Co-Autor und SSAC-Mitglied Jaap Akkerhuis gegenüber heise online klar, dass auch die Stopp-Schilder gegen kinderpornografische Seiten eine Art von Wildcarding seien. Zu den Autoren zählt ferner DNS-Guru Paul Vixie, der seit 1988 maßgeblich an der Entwicklung des DNS-Servers BIND beteiligt ist.

„Wir empfehlen der ICANN, alle möglichen Schritte gegenüber den verantwortlichen Stellen zu unternehmen, um eine solche Nutzung zu verbieten“, heißt es in dem Papier, das damit seine Kritik gegen TLD-Betreiber richtet. Weiter schreiben die Autoren: „Wir empfehlen der ICANN ebenfalls, unsere Vorbehalte gegenüber Dritten bekanntzumachen, die in der Lage sind, unabhängig von der ICANN zu arbeiten, um sicherzustellen, dass die Gefahren, die sich aus Umleitungen und künstlichen Antworten ergeben, nicht nur von den TLDs, sondern auch von untergeordneten DNS-Hierarchien verstanden werden. Diese sollen die Konsequenzen sorgfältig abwägen und Maßstäbe setzen, die die Integrität von DNS-Antworten sowohl im Fehler- als auch im Erfolgsfall gewährleisten“.

Das SSAC beschäftige sich bereits seit 2004 mit DNS-Umleitungen und künstlichen DNS-Antworten. Bereits damals habe man in einer Analyse (PDF) dargelegt, dass Umleitungen eine Reihe bis dahin funktionierender Dienste gestört hätten. So hätten beispielsweise einige E-Mail-Dienste und Spamfilter direkt oder indirekt Kosten verursacht in Form von erhöhtem Netzwerktraffic, eingeschränkter Performance oder Arbeitsaufwand, der durch die Behebung von Fehlfunktionen entstanden sei.

Im Verlauf des Jahres 2007 hätten Sicherheitsforscher damit begonnen, unbeabsichtigte Nebenwirkungen des „wachsenden Fehlerauflösungsmarktes“ zu ermitteln, der versuche, aus falsch eingetippten Domains Kapital zu schlagen. In Deutschland geben unter anderen T-Online und Kabel Deutschland künstliche DNS-Antworten zurück, wenn sich ein Anwender beim Domainnamen vertippt. Browsernutzer landen dann auf der Suchmaschine des Providers. Andere Dienste würden durch diese absichtlich falsche Antwort möglicherweise gestört. Die Sicherheitsforscher, vor allem Dan Kaminsky, hätten darüber hinaus zusätzliche Exploits entdeckt, die durch DNS-Umleitungen erst möglich werden.

Im Januar 2008 habe man in der Analyse Vorläufiger Bericht über Veränderungen von DNS-Antworten (PDF) dargelegt, wie DNS-Antwortveränderungen Dienste jenseits des World Wide Web stören könnten, unter anderem E-Mail und Internet-Telefonie. Dabei verursachten DNS-Umleitungen im schlimmsten Fall eine DoS-Attacke gegen Unbeteiligte.