US-Sicherheitsforscher kapert WHOIS Dienst

16. September 2024 | Von | Kategorie: Domain Knowhow, Domain News

Für Nutzer und Betreiber ist es ein beunruhigendes Szenario: die Übernahme eines kompletten WHOIS Dienstes einer Top-Level-Domain. Wie schnell so etwas passieren kann, wenn ein Registrar die Sicherheit vernachlässigt, zeigt das Experiment des WatchTowr Gründers und Sicherheitsforschers Benjamin Harris.

WHOIS Dienst Übernahme: Einsatz: 20 USD

Die Übernahme des WHOIS Servers der TLD .mobi kostete den Experten genau 20 USD und ein wenig Zeit. So viel Geld investierte er in die Registrierung der dotmobiregistry.net, die ein Vorbersitzer verfallen ließ. Harris entdeckte die Domain während seiner Teilnahme an der Black Hat Sicherheitskonferenz in Las Vegas/Nevada und startete umgehen sein Experiment.

Er installierte über die Adresse einen eigenen WHOIS Server für.mobi, erstellte gefälschte HTTPS Zertifikate, hatte auch die Möglichkeit, E-Mail Aktivitäten zu steuern und auf „tausenden Servern“ beliebig Codes auszuführen. Und der Server arbeitete „perfekt“, erhielt Anfragen von mehr als 75.000 IP Adressen und innerhalb einer Woche weitere2,5 Millionen Anfragen von 135.000 Systemen, darunter Internetfirmen, Domain-Registrare, Anbieter von Sicherheitstools, Regierungsstellen, Universitäten und Zertifizierungsstellen. All diese Systeme griffen auf die Domain zu, die eigentlich längst verfallen war. Die WHOIS Datenbank des Fake Servers befüllte Harris mit „fehlerhaften Daten“ und ASCII Art mit dem Verweis auf watchtowr.com.

Mangelhafte Sicherheit kann zum Chaos führen

Dann passierte etwas, das zum Abbruch des Experiments führte:Die Zertifizierungsstelle GlobalSign sendete per Mail einen Zertifizierungslink an die manipulierte Domainadresse whois.watchtowr.com Hätte er das Angebot angenommen, wäre die Möglichkeit offen gewesen, gefälschte Zertifikate direkt auszugeben und damit Angriffe auf Nutzer auszuführen. Harris beendete das Experiment aus ethnischen Gründen, informierte die Registry, die .mobi verwaltet und kommt zu einem ernüchternden Fazit :“Die Integrität der Sicherheitsprozesse, auf die sich Internetnutzer verlassen, ist extrem fragil“

Schreibe einen Kommentar