xdial

Verisign entsetzt Internet-User

Vertipper-Service öffnet Tor für weltweite Datenspionage
Von Ralf Hüskes

Wer sich bei der Eingabe einer Internet-Adresse bisher vertippte, erhielt je nach Browser eine Fehlermeldung oder wurde zu einer Web-Seite seines Browser-Herstellers umgeleitet. Durch eine technische Manipulation an den zentralen Root-Nameservern leitet die Firma Verisign diesen Datenverkehr nun auf den eigenen Webserver um.

Verisign bewirbt dies als Service für die Nutzer, soll er doch helfen, Ersatz für falsch eingegebene com- und net-Domains zu finden. Doch die Hilfestellung ist problematisch. Lassen viele fehlerhaft eingegebene Domain-Namen doch detailierte Rückschlüsse auf die eigentlich von dem Benutzer gewünschten Seiten zu und geben dadurch detailierte Informationen über sein Surf-Verhalten preis. Auch die Übertragung von Passwörtern und anderen vertrauenswürdigen Angaben zu Verisign ist durch fehlerhafte URLs somit denkbar.

Neben falschen Web-Adressen reagiert die Software von Verisign auch auf falsche Email-Adressen. So erhält Verisign detailierte Informationen über die Absender etwaiger Nachrichten und wäre durch eine einfache Erweiterung auch in der Lage, die kompletten Nachrichten abzufangen - inklusive etwaiger vertrauenswürdiger Dateianhänge.

Die Internet-Gemeinde ist entsetzt von der Verisign-Aktion. So wird in den Mailing-Listen der North American NetworkOperators' Group (NANOG) seit Stunden kaum ein anderes Thema mehr diskutiert. Besonders verärgert sind die Systemadministratoren darüber, dass Verisgin quasi treuhänderisch mit dem technischen Betrieb der Nameserver betraut worden ist und die ihr so entstehenden Möglichkeiten durch die Einrichtung eines Wildcard-Eintrages ohne klare rechtliche Grundlage ausnutzt.

Die Entwickler des verbreiteten Nameservers Bind haben unterdessen bereits eine neue Version ihrer Software heraus gegeben, über die sich Wildcard-Einträge wie sie von Verisign genutzt werden sperren lassen, so dass fehlerhafte Adressierungen wieder wie früher ins Leere laufen, anstatt an Verisign gemeldet zu werden. Analoge Patches existieren inzwischen auch für den alternativen Nameserver djbdns und den Mailserver postfix.

Ob Verisign der ihr insbesondere von der amerikanischen Regierung zugestandene Vertrauensstellung gerecht wird, bleibt nach dieser Aktion unterdessen mehr als fraglich. Zumindest aktuell kämpft die Firma unterdessen mit ganz anderen Problemen: Ihr neuer Webservice ist derart überlastet, dass die Benutzer in vielen Fällen überhaupt keine Antwort von ihm erhalten.