Infoguard lädt zu Kaffee, Gipfeli und Live-DNS-Hacking

Infoguard hat gestern zum Security Breakfast ins Au Premier in Zürich geladen. Ab 8:00 Uhr konnten die Gäste bei Kaffee und Gipfeli zulangen, um sich für die Live-Hacking-Session mit Stefan Rothenbühler zu stärken.

Stefan Thomann, Verkaufsleiter von Infoguard, begrüsste eine Viertelstunde später die rund 25 Gäste und erklärte kurz das 3-Säulen-Prinzip von Infoguard: Beim Thema Security sei es entscheidend, People, Process und Technology abzudecken. Infoguard biete dafür entsprechende Lösungen und Dienstleistungen, wie beispielsweise ein Cyber-Defence-Center-as-a-Service und zähle bereits viele Schweizer Top-Firmen zu seinen Kunden.

Das Domain Name System (DNS) als "Telefonbuch des Internets", das Domainnamen in IP-Adressen übersetzt, ist überall präsent, die Kommunikation zwischen Server und Client ist immer in Massen vorhanden und lässt sich mit verschiedenen Angriffen nutzen.

Stefan Rothenbühler, Senior Cyber Security Analyst bei Infoguard, erklärte den Anwesenden, wieso DNS Security deshalb wichtig ist. In erster Linie, weil ein nicht mehr funktionierendes Domain Name System bedeute, dass das Internet nicht mehr funktioniert. Heisst für Firmen, auch das Intranet kann nicht mehr genutzt werden, Kunden können einen nicht mehr erreichen, nichts geht mehr.

Live-DNS-Hacking mit sechs beliebten Methoden

Rothenbühler demonstrierte sechs der beliebtesten und effizientesten Angriffsmethoden gleich live:

DDoS - Distributed Denial of Service - Angriffe sind eine Möglichkeit, eine Website oder einen Onlinedienst vom Netz zu fegen. Dabei wird die Website mit so vielen Anfragen überhäuft, dass sie unter der Last zusammenbricht. So geschehen im Oktober 2016, als Hacker mit der "Mirai"-Schadsoftware Internet-of-Things-Geräte zu einem Botnet zusammenschlossen. Das Botnetz konnte durch seine schiere Masse an Geräten einen Angriff mit über 1,2 Terabyte pro Sekunde starten. Damit hätten die Angreifer das amerikanische Internet praktisch lahmgelegt.

Nach ähnlichem Schema wie bei DDoS-Angriffen funktionieren DNS Spoofing und DNS Amplification. Spoofing bedeutet, dass IP-Pakete mit gefälschter IP-Absender-Adresse versandt werden, DNS Amplification nutzt aus, dass Nameserver in bestimmten Fällen auf kurze Anfragepakete mit sehr langen Paketen antworten. Über offene Nameserver wird somit ein Datenstrom derart verstärkt, dass er den Zielcomputer zum Abstürzen bringt.

Eine dank WannaCry sehr bekannte Angriffsmethode ist der Zero Day Exploit, das Ausnutzen von Schwachstellen. Bei WannaCry war die Schwachstelle genaugenommen bereits geflickt, nur hatten viele User den angebotenen Patch von Microsoft nicht genutzt.

Als weniger schlimme Angriffe zeigte Rothenbühler noch den Zonentransfer und die Data Exfiltration über das DNS. Mit diesen beiden Methoden kann ein Hacker Informationen über Firmen sammeln, beispielsweise deren E-Banking-System, Kundendaten oder ähnliches herauskriegen, das sich später ausnutzen lässt.

Infoblox’ DNS-Security-Lösungen sollen Angriffe verhindern

Geriet Wendler, Senior Systems Engineer bei Infoblox, ging im zweiten Vortrag des Frühstücks auch auf das Thema Data Exfiltration ein, während die Anwesenden leicht beunruhigt darüber, dass das DNS ein so leichtes Ziel für Hacker scheint, ihr Birchermüesli löffelten und Kaffee nachschenkten.

Knapp 50 Prozent der Unternehmen hätten schon DNS Data Exfiltration erlebt, sagte Wendler. Er beleuchtete die Rolle des DNS in der "Cyber Kill Chain" genauer: In vier von acht Schritten, die es zum erfolgreichen Angriff braucht, spielt das DNS ein wichtige Rolle. Das hat immerhin etwas Gutes: mit DNS Security schütze man gleich Netzwerk, Infrastruktur und Daten.

Infoblox-Security-Lösungen bieten denn laut Wendler auch Schutz vor DDoS-Attacken, APTs (Advanced Persistent Threats), Malware generell und Data Exfiltration. Infoblox sei ganz auf DNS Security spezialisiert und habe dafür vier verschiedene Produkte im Angebot: Advanced DNS Protection, eine DNS Firewall, Threat Insight, das Analysen und Reports bietet, und ActiveTrust.

Letzteres gebe es auch für die Cloud, und die Software biete weitreichenden Schutz, da sie eine Kombination vom DNS-Firewall, "Infoblox Threat Insight in the Cloud" und zwei weiteren Softwarekomponenten enthalte. Advanced DNS Protection und ActiveTrust arbeiteten mit Rate Limiting.

Wendler zeigte die Demo-Version, die zum Test gratis heruntergeladen werden könne. Damit könne gleich getestet werden, ob Angreifer versuchten, über das DNS ins Unternehmen zu kommen. Während sich Rothenbühlers Live-Hacking eher nicht zum Nachmachen eignete, ermutigte Wendler die Anwesenden ausdrücklich, es ihm mit dem Installieren des Threat Tests gleichzutun.