Hier erstmal der Originaltext, danach eine kurze erklärung:
Das Internet Storm Center (ISC) hat drei Angriffe auf den Internet-Namensdienst DNS analysiert. Dabei waren im März tausende Anwender auf Web-Seiten umgeleitet worden, die versuchten, Spyware zu installieren. Ermöglicht wurden die Angriffe vor allem durch Fehler in Symantecs Firewall-Produkten sowie DNS-Server unter Windows NT4/2000, die in der Standardkonfiguration anfällig für DNS-Cache-Poisoning sind. Betroffen waren circa 500 bis 1000 Firmen und Organisationen, hauptsächlich aus Nord- und Südamerika.
Indem die Angreifer den Cache der betroffenen DNS-Server manipulierten, konnten sie alle Nutzer dieser DNS-Server auf beliebige Server umleiten. So landeten nichts ahnende Anwender statt auf der Website von American Express oder irgendeinem anderen .com-Server auf speziell präparierten Web-Seiten. Diese nutzten dann einen seit drei Monaten bekannten Fehler des Internet Explorer im Umgang mit Dateien für animierte Cursor aus. Als Antriebsquelle der Angreifer vermutet das ISC Geld durch Klicks, welche die installierte Spyware erzeugt. Bei einem der Angriffe gab es offenbar auch Verbindungen zur Spammer-Szene. heise Security hat mit Genehmigung des ISC eine deutsche Übersetzung der Analyse veröffentlicht.
------------------------------------------------
DNS-Poisoning bedeutet im Klartext:
DNS ist ein besonderer Dienst im Internet. Hinter der Abkürzung DNS verbirgt sich das Domain Name System. Dieses ist dafür zuständig, IP-Addressen in Computernamen umzuwandeln, das bedeutet es macht aus:
IP-Addresse: 62.67.235.48 den Internet-Namen: www.grdb.de und umgekehrt. Dies ist nötig, damit man komfortabel im Internet surfen kann. Denn wer will sich schon die pure Addresse seiner Lieblingshomepages merken müssen?
Da ist es natürlich leichter sich nur den Namen der Webseite zu merken.
Dieses System arbeitet im Endeffekt folgendermassen:
1. Rootserver:
Die sogenannten Rootserver sind die Hauptanlaufstellen bei Fragen zu bestimmten Webseiten. Von Ihnen bekommen alle anderen DNS-Server sämtliche Zuordnungen von Webseiten zu IP-Addressen zugewiesen.
2. Secondary DNS-Server:
Diese Server haben eine eigene DNS-Datenbank und stellen von sich aus ihre Ergebnisse zur verfügung, zum beispiel der T-Online DNS-Server. Falls er die Addresse einer Webseite nicht kennt fragt er die "Root-Server" und speichert die Addresse danach in seiner eigenen Datenbank (sogenanntes Caching).
3. DNS-Datenbank:
Jeder DNS-Server hat eine "DNS-Datenbank", in der die Zuweisung von IP-Addressen zu Hostnamen (und umgekehrt) stattfindet. So ein Eintrag sieht zum Beispiel so aus:
# Das ist ein Kommentar
# IP-Addresse # hostname # Kommentar für den Admin
65.67.235.48 www.grdb.de # GRDB Rocks !!!
Nun kann man aber bei Microsoftprodukten, einige Kenntnisse und kriminelle Energie vorausgesetzt ( :9 ) diese Einträge ändern.
Was passiert also wenn ein Hacker den Eintrag in der Datenbank ändert?
Grundeintrag:
100.100.100.1 www.test.de
Veränderter Eintrag (Poisoning)
20.100.2.5 www.test.de
Das bedeutet das alle Anfragen an den Server die eigentlich die Homepage der Stiftung Warentest ausgeben sollen, die Seite http://www.iamanevilhacker.org anvisieren... Und darüber laufen dann die wildesten Trojaner, Spyware-Programme, Viren und was es nicht alles gibt. Der User merkt den Unterschied nicht, da diese Seiten praktisch eins zu eins kopiert werden (wie beim Phishing...)
(Keine Zeit mehr, mehr später (-: )