94 Schweizer Website-Adressen gekapert

18. Juli 2017, 15:19
  • telco
image

Schon die Anzahl betroffener Domains ist hoch. Aber es hätte noch schlimmer kommen können, erklärt ein Experte.

Schon die Anzahl betroffener Domains ist hoch. Aber es hätte noch schlimmer kommen können, erklärt ein Domain-Experte.
Beim Domain-Registrar Gandi wurden 751 Domain-Namen gekapert und umgeleitet. Darunter finden sich 27 Top-Level-Domains wie .asia, .au, .jp and .se sowie auch 94 .ch- und .li-Domains. Also 94 Websites (und E-Mail-Adressen mit demselben Namen) von Schweizer Firmen und Organisationen.
Unter den gekaperten Domains fand sich auch die Schweizer Domain "scrt.ch" des Lausanner Security-Unternehmens SCRT Information Security. In einem Blogpost schuf das Unternehmen Transparenz zur illegalen Kaperei. Man habe festgestellt, dass DNS-Requests nicht die korrekten IP-Addressen retournierten, so SCRT, sondern auf eine fremde Website umgeleitet wurden. Die Firma kontaktierte darauf die involvierte nic.ch, worauf dann der Domain-Registrar Gandi identifiziert und kontaktiert werden konnte.
Gandi konnte dann die Umleitungen rückgängig machen.
Der Vorfall ist relativ aussergewöhnlich in seiner Dimension mit so vielen betroffenen Domains, erläutert Andri Steiner CEO von Snowflake Ops und Spezialist beim Schweizer Registrar.
Mit Passwort eingeloggt
Aussergewöhnlich wirkt auch, wie das geschehen konnte. Gandi wurde nämlich nicht gehackt, ebensowenig die Partner. Sondern ein Krimineller konnte sich mit einem Passwort einloggen und statt scrt.ch andere DNS-Server hinterlegen.
Entweder war dieses Passwort also sehr einfach zu erraten, oder es war irgendwo gespeichert oder Gandi hatte die üblichen netzwerkseitigen Einschränkungen mit dedizierten Servern nicht vorgenommen.
Gandi ist ein normaler Registrar mit Hauptsitz Paris, bei welchem man alle möglichen Internet-Adressen registrieren und entsprehchen die IP-Adressen von Name Servern konfigurieren. Dasselbe bieten diverse Schweizer Firmen an. Laut eigenen Angaben managt Gandi als Registrar 2,1 Millionen Domains und ist seit 1999 am Markt.
Wie üblich bei Registraren arbeitet das Unternehmen im Hintergrund mit mehreren, kaskadierenden Partnern zusammen. Diese sind via automatisierte Schnittstellen miteinander verbunden. Diese Verknüpfung macht aus Sicht der Beteiligten schon sprachlich Sinn, wenn man beispielsweise japanische Top-Level-Domains anbiete.
Allerdings wurde die ganze Kaper-Operation "dilettantisch" durchgeführt, so Steiner, und darum nach vier Stunden von SCRT bemerkt, an Gandi gemeldet und nur eine weitere Stunde später war der Spuk zu Ende.
Nicht sehr raffiniert war es dabei, auf eine Website mit Malware umzuleiten.
"Das hätte man raffinierter machen können"
Viel raffinierter hingegen wäre es gewesen, wenn die Website und der E-Mail-Verkehr vordergründig funktioniert hätte wie normal, während man die E-Mails im Hintergrund abgriff. Theoretisch wäre es laut dem Spezialisten möglich, so auch eine Online-Banking-Adresse umzuleiten und Infos abzugreifen.
"Wenn man das geschickter macht, wird das relativ lange nicht bemerkt, auch von Switch, verantwortlich für die Registrierung der Domain-Namen mit den Endungen .ch und .li, nicht," so Spezialist Steiner.
Gandi hat inzwischen die Logins zu allen 150 technischen Plattformen, welche man zur Verknüpfung mit Partnern nutzt, geändert. Das Unternehmen hat nachträglich auch einen recht detaillierten Report der Ereignisse publiziert. (Marcel Gamma)

Loading

Mehr zum Thema

image

Leichtes Wachstum bei Salt

Salt hat im ersten Quartal 2022 an Umsatz zugelegt. Auch bei den Firmenkunden ist der Telco gewachsen.

publiziert am 24.5.2022
image

Telco-Branche gibt sich für die Replay-TV-Verrechnung mehr Zeit

In einer gemeinsamen Branchenvereinbarung geben sich die Telcos mehr Zeit, damit Replay-TV für die Provider nicht schon bald viel teurer wird. Doch die Umsetzung ist komplex.

publiziert am 20.5.2022 1
image

Podcast: Kostenpflichtiges Replay-TV ist wie lineares Fernsehen

In dieser Ausgabe von "Die IT-Woche" sagen wir, warum kostenpflichtiges Replay-TV falsch ist. Zudem erklären wir den gemeinsamen Tarif G12 und was dahintersteckt.

publiziert am 20.5.2022
image

"UPC" verschwindet, Telco heisst nur noch Sunrise

Das fusionierte Telekomunternehmen Sunrise UPC schreitet mit seiner Integration weiter voran. Ab kommender Woche wird Sunrise zur neuen Hauptmarke des Konzerns.

publiziert am 19.5.2022 1