Die Forscher Srinivas Krishnan und Fabian Monrose von der University of North Carolina haben im April ein Papier (PDF) veröffentlicht, in dem sie darlegen, dass sich DNS-Prefetching zum Ausspionieren von Google-Suchen missbrauchen lässt. Da die angezeigten Treffer einer Google-Suche über längere Zeit identisch sind, kann man anhand der DNS-Queries, die beim Anzeigen des Suchergebnisses ausgelöst werden, Rückschlüsse auf die Suche ziehen.
Dazu werteten die Forscher den Cache eines DNS-Servers aus, der von allen Benutzern ihrer Fakultät verwendet wird. Einträge im Cache, die innerhalb eines Zeitraums von wenigen Sekunden hinzugekommen sind, stammen mit hoher Wahrscheinlichkeit vom DNS-Prefetching derselben Google-Query.
Allerdings befindet sich im Cache nicht der Zeitpunkt, wann der Eintrag generiert wurde, sondern nur die Restlaufzeit, wie lange die zwischengespeicherte Information noch gültig ist. Die Gesamtlaufzeit lässt jedoch beim autoritativen DNS-Server abfragen. Zieht man davon die Restlaufzeit ab, erhält man die Anzahl der Sekunden, wie lange sich ein Eintrag schon im Cache befindet.
In ihrem ersten Versuch haben die Forscher den Cache ihres Fakultäts-DNS-Servers gedumpt. Das bedeutet, dass sie für diesen Server Adminrechte benötigen. In der Praxis kann man jedoch nicht davon ausgehen, dass ein Angreifer diese Rechte hat.
In einem zweiten Angriffsszenario stellten sie daher gezielte Abfragen an den DNS-Server, wozu keine Adminrechte erforderlich sind. Damit lassen sich bestimmte Google-Suchen finden. So konnten sie herausfinden, ob jemand nach Begriffen wie „Spielsucht“, „Alkoholentzugserscheinungen“ oder „häusliche Gewalt“ sucht.
Da nicht abgefragt werden kann, welche IP-Adresse einen Cache-Eintrag verursacht hat, ist ein solcher Angriff auf kleine und mittlere Firmen beschränkt, die eigene DNS-Server verwenden. Gegen die DNS-Server von großen Providern ist eine solcher Angriff nutzlos, da sie von zahlreichen Anwendern genutzt werden.
Auch in einer kleinen Firma kann ein Nutzer ohne Adminrechte nicht feststellen, wer nach bestimmten Begriffen sucht. Es lässt sich lediglich herausfinden, dass ein Kollege eine spezifische Suchanfrage gestellt hat. Das ist allerdings mit der Methode der Forscher sehr genau bestimmbar.
Bildergalerie
- Wegen ein paar Millisekunden: Gefahr durch DNS-Prefetching
- Eine verteilte Datenbank wie DNS führt zu Wartezeiten
- DNS-Prefetching kann zu falschem Verdacht führen
- US-Forscher können DNS-Prefetching zum Ausspionieren von Nutzern einsetzen
- ZDNet-Praxistest: Kaum Vorteile, aber viele Nachteile
- So schaltet man DNS-Prefetching ab
- Fazit
Neueste Kommentare
1 Kommentar zu Wegen ein paar Millisekunden: Gefahr durch DNS-Prefetching
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
network.dns.disablePrefetch
In meiner Installation 3.6.3 von PortableApps heißt das Konfig-Feld network.dns.disablePrefetch, und der DNS-Cache ist standardmäßig deaktiviert.