Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Wednesday, September 7, 2011

Cyberangriff aus Iran

Totale, unbemerkte Überwachung
Um das zu erreichen, hätte es allerdings noch eines zweiten Tricks bedurft - und das spricht stark dafür, dass es sich bei dem Angriff tatsächlich um die Aktion einer staatlichen Organisation handelt.
Um diesen Teil zu verstehen, ist ein bisschen Internet-Grundwissen nötig:
  • Wenn ein Browser eine bestimmte Website öffnen soll, braucht er dazu eine zusätzliche Information: Die Übersetzung des Domainnamens (etwa www.spiegel.de) in eine IP-Adresse (im Fall von Spiegel.de: 195.71.11.67).
  • Diese Übersetzung erledigt das sogenannte Domain Name System (DNS). Der Browser fragt bei einem von vielen rund um die Welt verteilten DNS-Servern nach, welche IP-Nummer zu dem Domainnamen gehört, die er gerade aufrufen soll.
  • Wer die Kontrolle über den jeweiligen DNS-Server hat, könnte den Browser im Prinzip in die Irre führen - und ihn zu einer eigentlich falschen IP-Nummer seiner Wahl weiterleiten.
Mächtig und gefährlich würde beides in Kombination: Ein so in die Irre geführter Browser, dem dann auch noch ein gefälschter Web-Ausweis gezeigt wird, hielte eine gefälschte Web-Seite zwangsläufig für echt. Für den Nutzer wäre es praktisch unmöglich, zu erkennen, dass er gerade ausgetrickst wird. Zugriff auf DNS-Server hat nicht jeder - aber beispielsweise die iranischen Behörden. Sie könnten also alle Nutzer von Diensten wie Googlemail, Yahoo-Mail oder Skype auf eigene Websites umleiten und dort eine Kopie des echten Angebots bereitstellen.
Wer sich in seinen Mailaccount einloggte, würde nichts Ungewöhnliches bemerken, dabei liefe die ganze Kommunikation heimlich über den Server des jeweiligen Angreifers. Totale, unbemerkte Überwachung wäre die Folge. Allerdings wohl nur in der jeweiligen Region - deutsche Nutzer etwa beziehen ihre DNS-Informationen nicht von iranischen DNS-Servern.
Tatsächlich benutzt wurde Abdulhayoglu zufolge bislang nur eines der gefälschten Zertifikate - das für Yahoo. Comodo selbst habe festgestellt, dass die Angreifer es offenbar ausprobiert hätten, wiederum über eine iranische IP-Adresse.
Attacke auf das Sicherheitssystem des Webs
http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
http://de.wikipedia.org/wiki/Spoofing

Posted by at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)