94 Schweizer Website-Adressen gekapert

18. Juli 2017, 15:19
  • telco
image

Schon die Anzahl betroffener Domains ist hoch. Aber es hätte noch schlimmer kommen können, erklärt ein Experte.

Schon die Anzahl betroffener Domains ist hoch. Aber es hätte noch schlimmer kommen können, erklärt ein Domain-Experte.
Beim Domain-Registrar Gandi wurden 751 Domain-Namen gekapert und umgeleitet. Darunter finden sich 27 Top-Level-Domains wie .asia, .au, .jp and .se sowie auch 94 .ch- und .li-Domains. Also 94 Websites (und E-Mail-Adressen mit demselben Namen) von Schweizer Firmen und Organisationen.
Unter den gekaperten Domains fand sich auch die Schweizer Domain "scrt.ch" des Lausanner Security-Unternehmens SCRT Information Security. In einem Blogpost schuf das Unternehmen Transparenz zur illegalen Kaperei. Man habe festgestellt, dass DNS-Requests nicht die korrekten IP-Addressen retournierten, so SCRT, sondern auf eine fremde Website umgeleitet wurden. Die Firma kontaktierte darauf die involvierte nic.ch, worauf dann der Domain-Registrar Gandi identifiziert und kontaktiert werden konnte.
Gandi konnte dann die Umleitungen rückgängig machen.
Der Vorfall ist relativ aussergewöhnlich in seiner Dimension mit so vielen betroffenen Domains, erläutert Andri Steiner CEO von Snowflake Ops und Spezialist beim Schweizer Registrar.
Mit Passwort eingeloggt
Aussergewöhnlich wirkt auch, wie das geschehen konnte. Gandi wurde nämlich nicht gehackt, ebensowenig die Partner. Sondern ein Krimineller konnte sich mit einem Passwort einloggen und statt scrt.ch andere DNS-Server hinterlegen.
Entweder war dieses Passwort also sehr einfach zu erraten, oder es war irgendwo gespeichert oder Gandi hatte die üblichen netzwerkseitigen Einschränkungen mit dedizierten Servern nicht vorgenommen.
Gandi ist ein normaler Registrar mit Hauptsitz Paris, bei welchem man alle möglichen Internet-Adressen registrieren und entsprehchen die IP-Adressen von Name Servern konfigurieren. Dasselbe bieten diverse Schweizer Firmen an. Laut eigenen Angaben managt Gandi als Registrar 2,1 Millionen Domains und ist seit 1999 am Markt.
Wie üblich bei Registraren arbeitet das Unternehmen im Hintergrund mit mehreren, kaskadierenden Partnern zusammen. Diese sind via automatisierte Schnittstellen miteinander verbunden. Diese Verknüpfung macht aus Sicht der Beteiligten schon sprachlich Sinn, wenn man beispielsweise japanische Top-Level-Domains anbiete.
Allerdings wurde die ganze Kaper-Operation "dilettantisch" durchgeführt, so Steiner, und darum nach vier Stunden von SCRT bemerkt, an Gandi gemeldet und nur eine weitere Stunde später war der Spuk zu Ende.
Nicht sehr raffiniert war es dabei, auf eine Website mit Malware umzuleiten.
"Das hätte man raffinierter machen können"
Viel raffinierter hingegen wäre es gewesen, wenn die Website und der E-Mail-Verkehr vordergründig funktioniert hätte wie normal, während man die E-Mails im Hintergrund abgriff. Theoretisch wäre es laut dem Spezialisten möglich, so auch eine Online-Banking-Adresse umzuleiten und Infos abzugreifen.
"Wenn man das geschickter macht, wird das relativ lange nicht bemerkt, auch von Switch, verantwortlich für die Registrierung der Domain-Namen mit den Endungen .ch und .li, nicht," so Spezialist Steiner.
Gandi hat inzwischen die Logins zu allen 150 technischen Plattformen, welche man zur Verknüpfung mit Partnern nutzt, geändert. Das Unternehmen hat nachträglich auch einen recht detaillierten Report der Ereignisse publiziert. (Marcel Gamma)

Loading

Mehr zum Thema

image

Swisscom bricht Verhandlungen ab: Müssen 160 Spitäler bald wieder per Papier abrechnen?

Heute können Spitäler elektronisch mit Versicherern und Kantonen abrechnen. Aber wie lange noch? Swisscom Health hat die Verhandlungen mit dem Dienstleister Medidata einseitig abgebrochen.

publiziert am 17.11.2022 2
image

Linux-Foundation Europe lanciert ambitiöses Telco-Software-Projekt

Im Projekt Sylva soll ein kompletter Open-Source-Stack für europäische Telcos entstehen. Dahinter stehen gewichtige Branchenplayer.

publiziert am 16.11.2022
image

Telekom-Störungen sollen schneller erfasst werden

Der Bundesrat will die Sicherheit von Fernmeldenetzen verbessern. Telcos müssen bei Störungen die Nationale Alarmzentrale informieren, Internet-Anbieter besser vor Manipulationen schützen.

publiziert am 16.11.2022 1
image

Orange verstärkt sich im Bereich Cybersecurity

Orange Cyberdefense, ein Tochterunternehmen des französischen Telcos, hat die Cybersecurityspezialisten SCRT und Telsys aus der Westschweiz akquiriert.

publiziert am 14.11.2022