Dan Kaminsky

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Dan Kaminsky (2007)

Dan Kaminsky ist ein Spezialist für Computersicherheit und Mitbegründer sowie Chef der wissenschaftlichen Forschung der Firma WhiteOps.[1] Er hat bisher für Cisco, Avaya und das Penetration-Testing-Unternehmens IOActive gearbeitet. Bei letzterer war er Chef der Pentestingsparte.[2][3] Kaminsky hält regelmäßig Vorträge auf dem Chaos Communication Congress[4][5][6][7][8][9] sowie den Black Hat Briefings.[3]

Sony-Rootkit[Bearbeiten]

Als bekannt wurde, dass der von Sony BMG eingesetzte Kopierschutz XCP über Rootkit-Funktionalität verfügt [10][11], nutzte Kaminsky DNS Cache Snooping, um die Verbreitung von XCP abzuschätzen. Er zählte 568.200 öffentliche Nameserver, die im Cache Domainnamen zwischengespeichert hatten, die mit XCP im Zusammenhang standen und die auf das Vorhandensein mindestens eines potentiell infizierten Computers hinweisen können.[12][13]

Earthlink und DNS lookup[Bearbeiten]

Im April 2008 veröffentlichte Kaminsky eine im Vorfeld entdeckte Sicherheitslücke, wie Earthlink fehlgeschlagene DNS lookups handhabt.[14][2] Diese Lücke konnte er auch auf andere Internetdienstleister übernehmen. Viele Anbieter experimentierten mit dem Abfangen von Antwortnachrichten von nichtexistenten Domainnamen und ersetzten diese mit Werbeinhalten. Phisher können die Server, die die Werbung ausliefern, attackieren und nicht-existierende Subdomains verwenden und statt der Werbung ein Phishing-Formular anzeigen lassen. Kaminsky demonstrierte dies, als er Rickrolls in Facebook und PayPal[2][15] einblendete. Während diese Sicherheitslücke anfangs von der von Earthlinks eingesetzten Software BareFruit ausging, war es Kaminsky möglich die Lücke zu verallgemeinern, und so den Werbeanbieter Paxfire, welcher von Verizon genutzt wird, anzugreifen.[16]

Kaminsky ging an die Öffentlichkeit mit dieser Sicherheitslücke nachdem berichtet wurde, dass Network Solutions einen ähnlichen Service anbietet wie Earthlink.[17]

Fehler im Domain Name System[Bearbeiten]

Im Juli 2008 verkündete das US-CERT, dass Kaminsky eine grundlegende Schwachstelle im Domain Name System entdeckt habe, der es dem Angreifer sehr einfach erlaube, Cache-Poisoning-Angriffe gegen die meisten Nameserver-Implementierungen[18][19] auszuführen. Kaminsky hatte vorher zusammen mit Entwicklern von DNS-Software an einem Patch gearbeitet, der das Ausnutzen der Sicherheitslücke schwieriger machen sollte und der am 8. Juli 2008 veröffentlicht wurde.[20] Dabei wurde die Schwachstelle an sich nicht gepatcht, da es sich hier um eine Design-Schwäche im DNS handelt, bei dem Cache Poisoning ursprünglich nicht berücksichtigt wurde.[21]

Kaminsky hatte geplant 30 Tage nach der Veröffentlichung des Patches zu warten, bis er Details zum Angriff preisgeben wollte, allerdings sind diese Informationen am 21. Juli 2008 durchgesickert.[22] Die Informationen wurden zwar sofort abgeschaltet, jedoch hatten in dieser Zeit schon einige Webseiten einen Mirror gestellt.[23]

Die Schwachstelle fand eine breite Berichterstattung, auch außerhalb der Fachpresse. Auf der Black Hat-Konferenz 2008 bekam Kaminsky den Pwnie award für die „Most overhyped security vulnerability“ (deutsch: am meisten hochgespielte Sicherheitslücke).[24]

DNSSEC Root-Schlüssel[Bearbeiten]

Dan Kaminsky ist eine von sieben Personen, die für die ICANN eine Smartcard zum Zugriff auf ein Backup des Root-DNSSEC-Schlüssels aufbewahrt.[25][26] Fallen die Hardware-Sicherheitsmodule mit dem Root-DNSSEC-Schlüssel aus, kann durch Einsatz von fünf der sieben Smartcards ein Backup entschlüsselt werden.[27]

Automatische Erkennung des Conficker Virus[Bearbeiten]

Am 27. März 2009 entdeckte Kaminsky, dass Conficker-infizierte Computer eine nachweisbare Signatur haben, wenn man diese scannt.[28] Es folgten ziemlich schnell Signatur-Updates für Netzwerk-Scanner wie z. B. Nmap[29] oder Nessus.[30]

Schwachstellen in der X.509-Internet-Infrastruktur[Bearbeiten]

2009 entdeckte Kaminsky in Zusammenarbeit mit Meredith L. Patterson und Len Sassaman zahlreiche Lücken im SSL und dass Verisign MD2 in einem ihrer Root-Zertifikate einsetzte und es durch Parsing-Fehler möglich war, Zertifikate auszustellen, die nicht kontrolliert waren.[31]

„Zero For 0wned“-Attacke[Bearbeiten]

Am 28. Juli 2009 wurde Kaminsky und andere Security-Experten Opfer einer Attacke von Hackern, die private E-Mails, Passwörter, Chatprotokolle sowie andere private Informationen veröffentlichten.[32] Die Attacke deckt sich mit Kaminskys Teilnahme an den Black Hat Briefings sowie der DEF CON.

Phreebird Suite[Bearbeiten]

Auf der Black Hat in Abu Dhabi kündigte Kaminsky veröffentliche Phreebird in der Version 1.0.[33] Mit diesem Tool Set sollen sich digitale Signaturen auf Basis von DNSSEC einfach erstellen lassen. [34]In den nächsten Versionen soll der automatische Schlüsselwechsel unterstützt werden. Das Zusatztool Phreeload bietet die Möglichkeit X.509-Zertifikate in OpenSSL durch DNSSEC-Signaturen zu ersetzen.[34]

Einzelnachweise[Bearbeiten]

  1. WhiteOps: whiteops. 26. August 2014, abgerufen am 26. August 2014.
  2. a b c Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatRyan Singel: ISPs' Error Page Ads Let Hackers Hijack Entire Web, Researcher Discloses. Wired, 19. April 2008, abgerufen am 10. Mai 2008.
  3. a b Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatMichael S. Mimoso: Kaminsky on DNS rebinding attacks, hacking techniques. Search Security, 14. April 2008, abgerufen am 19. Mai 2008.
  4. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-Format21st Chaos Communication Congress: Referenten und Moderatoren: Dan Kaminsky. Chaos Computer Club, abgerufen am 3. August 2010.
  5. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-Format22nd Chaos Communication Congress Private Investigations – Dan Kaminsky. Chaos Computer Club, abgerufen am 3. August 2010.
  6. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-Format23rd Chaos Communication Congress: Who can you trust? – Dan Kaminsky. Chaos Computer Club, abgerufen am 3. August 2010.
  7. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-Format24th Chaos Communication Congress: Volldampf voraus! – Dan Kaminsky. Chaos Computer Club, abgerufen am 3. August 2010.
  8. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-Format25th Chaos Communication Congress: Nothing to hide – Dan Kaminsky. Chaos Computer Club, abgerufen am 3. August 2010.
  9. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-Format26th Chaos Communication Congress: Here be dragons – Dan Kaminsky. Chaos Computer Club, abgerufen am 3. August 2010.
  10. Sicherheitsexperte: Sony BMGs Rootkit in Netzwerken des US-Militärs, heise.de vom 17. Januar 2006
  11. 22C3: Hacker beklagen "digitalen Hausfriedensbruch" durch Sony BMG, heise.de vom 29. Dezember 2005
  12. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatQuinn Norton: Sony Numbers Add Up to Trouble. Wired, 15. November 2005, abgerufen am 3. August 2010.
  13. Dan Kaminsky: Black Ops Of TCP/IP 2005.5 – New Explorations: Large Graphs, Larger Threats (Video; MP4; 513,9 MB). Vortrag auf dem 22. Chaos Communication Congress, Berliner Congress Center, 28. Dezember 2005.
  14. theregister.co.uk
  15. ToorCon Seattle 2008: Nuke plants, non-existent sub domain attacks, muffin diving, and Guitar Hero | Zero Day | ZDNet.com
  16. Brian Krebs: More Trouble With Ads on ISPs' Error Pages, Washington Post. 30. April 2008. Abgerufen am 19. Mai 2008. 
  17. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatRobert McMillan: EarthLink Redirect Service Poses Security Risk, Expert Says. PC World, 19. April 2008, abgerufen am 3. August 2010.
  18. Eintrag des US-CERT: Multiple DNS implementations vulnerable to cache
  19. Massives DNS-Sicherheitsproblem gefährdet das Internet, heise.de am 9. Juli 2008
  20. Not a Guessing Game
  21. Linux.com :: Patches coming today for DNS vulnerability
  22. Kaminsky's DNS Issue Accidentally Leaked?
  23. DNS bug leaks by matasano LiveJournal
  24. Pwnie Award Nominees
  25. http://abcnews.go.com/Technology/brotherhood-internet-keys-chosen/story?id=11271450
  26. http://www.vancouversun.com/news/Canadian+holds+rare+Internet/3349464/story.html
  27. ICANN: Trusted Community Representatives – Proposed Approach to Root Key Management (PDF; 104 kB). 8. April 2010.
  28. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatDan Goodin: Busted! Conficker's tell-tale heart uncovered. The Register, 30. März 2009, abgerufen am 3. August 2010.
  29. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatScanning for Conficker with Nmap. SkullSecurity, 30. März 2009, abgerufen am 3. August 2010.
  30. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatPaul Asadoorian: Updated Conficker Detection Plugin Released. Tenable Security, 1. April 2009, abgerufen am 3. August 2010.
  31. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatRodney Thayer: Dan Kaminsky Feels a disturbance in The Internet. SemiAccurate, 2. August 2009, abgerufen am 3. August 2010.
  32. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatUli Ries: Cracker nehmen Hacker-Promis ins Visier. Heise online, 30. Juli 2009, abgerufen am 3. August 2010.
  33. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatBlack Hat; Technical Security Conference: Abu Dhabi 2010 // Home. Black Hat, abgerufen am 17. November 2010.
  34. a b Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatDusan Zivadinovic: Neues Tool soll digitale DNS-Signaturen zum Kinderspiel machen. heise online, 16. November 2010, abgerufen am 17. November 2010.

Weblinks[Bearbeiten]