top of page

Aufgegebene Domänen als Security leaks

Autorenbild: SHARKBYTE AGSHARKBYTE AG

Immer wieder passiert es, dass sich Angreifer aufgegebene Domains schnappen und darüber an sensible Post gelangen. Domains sind wichtig. Diese werden bekanntermassen nicht nur im Web angesurft und für zahlreiche weitere Dienste verwendet, sondern dienen auch dem Empfang von E-Mails. Wer die Domain beherrscht, bekommt auch die Post – und das kann bei unsachgemäss aufgegeben Domains zu einem schlimmen Datenschutzproblem werden.

 

Die für den .nl-Adressraum zuständige „Registry Stichting Internet Domeinregistratie Nederland“, kurz SIDN, geht das Thema als erste Registrierungsstelle mit einem Warnverfahren an. Mithilfe von LEMMINGS, das kurz für "deLetEd doMain MaIl warNinG System" steht, sollen Domain-Besitzer im von der SIDN verwalteten Bereich künftig automatisch gewarnt werden, wenn sie eine Adresse aufgeben, dort aber noch regelmässig E-Mails aufschlagen. Dann können die Nutzer ihre Domain gegebenenfalls zurückholen, bevor sie in falsche Hände gerät.

 

Leaks ganz ohne Hacks

Die Motivation hinter LEMMINGS hat einen sehr ernsten Hintergrund. In den Niederlanden kam es in den vergangenen Jahren vermehrt zu unerwünschten Leaks sensibler E-Mails – und das ganz ohne Hacks.

Die Gemeinsamkeit bei fast allen Vorfällen ist, dass es sich dabei stets um Domains handelte, die der ursprüngliche Besitzer aus Geld- oder Faulheitsgründen hatte verfallen lassen. Angreifer und/oder Interessierte registrierten die Domain dann selbst und setzten einen Mail-Server auf – schon kamen die nicht für sie gedachten Informationen an.

Was nach einem eigentlich einfach zu lösenden Problem klingt, ist keins. Grosse Organisationen verfügen mittlerweile über einen grossen Schatz an Domains, deren Verwaltung nicht immer professionell abläuft. Kommt Kostendruck hinzu, geht eine seit Jahren in Verwendung befindliche Domain schon mal an unerwünschte Personen.

 

Übergangsfrist gelöschter Domänen

Eine gelöschte Domäne fällt in eine Übergangsfrist (Quarantäne). In dieser Phase kann die Domäne nur durch den Originalhalter reaktiviert werden. Nach der Übergangsphase steht die Domäne frei zur Wahl für neue Halter - was die Möglichkeit zum empfangen aller an die Domäne gesendeten E-Mails beinhaltet. In der Schweiz beträgt die Frist für .ch und .li Domänen 40 Tage.

 

Warnung vor dem Verlust

Für .nl-Domains greift während der Übergangsphase LEMMINGS. Der Registrar prüft dazu im Quarantänezeitraum über ihre Domainserver ab, ob noch relevante E-Mails an die Adresse gehen. Das erfolgt automatisiert nach Absenderadresse (also nicht nach Inhalt, der unsichtbar bleibt) und schliesst dank Filtersystemen Spam oder Benachrichtigungen von Social-Media-Angeboten wie Facebook aus. Erkennt LEMMINGS signifikanten E-Mail-Traffic, geht eine Benachrichtigung an die beim Registrar hinterlegte E-Mail heraus, in der gewarnt wird – inklusive der Information, wie man die Domain gegebenenfalls zurückholt. Ex-Besitzer können dann entscheiden, ob sie das machen wollen.

LEMMINGS läuft als Pilotprogramm seit neun Monaten im Echtbetrieb und konnte dabei 600.000 Domains analysieren. Täglich werden vier Billionen DNS-Requests überprüft. Der Traffic im .nl-Adressraum ist nicht klein: Es handelt sich immerhin um die drittgrösste Country-Code-Top-Level-Domain (ccTLD) Europas. Nach Versand der E-Mail an die Betroffenen müssen diese entscheiden, was sie tun wollen. Es habe wenig Beschwerden über die Mails gegeben und das Projekt sei positiv von der niederländischen Internet-Community angenommen worden, sagt der Entwickler und SIDN-Mitarbeiter Moritz Müller auf der ONE Conference in Den Haag.

Bei besonders gefährdeten Domains konnten die sogenannten Cancel-Requests immerhin mehr als versiebenfacht werden. Das Problem bleibt natürlich, dass die Besitzer dann ihre Domain gegebenenfalls für einen längeren Zeitraum weiterbezahlen müssen, um Leaks zu vermeiden – was angesichts der Gefahr und der relativ geringen Kosten vermutlich die sinnvolle Herangehensweise ist, bis wirklich keine E-Mails mehr ankommen.

 

Bis Ende des Jahres will die SIDN mit ihren Registrars besprechen, wie es weitergeht, sagt Müller. Er hofft auch, dass sich andere Registries für das Verfahren interessieren – schliesslich betrifft das Abgreifen von sensiblen E-Mails nicht nur die .nl-TLD, sondern alle Domains.

Ob LEMMINGS in der Schweiz durch das BAKOM bereits berücksichtigt und geprüft wird, ist zum aktuellen Zeitpunkt unbekannt.

 

SHARKBYTE AG unterstützt bestehende, wie auch neue Kunden bei der Organisation ihrer Domänen und einer kontrollierten Abschaltung von nicht mehr benötigten Domänen.

bottom of page