Die Auswirkungen von internationalisierten Domain Names auf die Sicherheit

Originalartikel von Ben April (Senior Threat Researcher bei Trend Micro)

Im Laufe der Jahre wurden viele Änderungen am Domain Name System (DNS) vorgenommen. Einige davon betrafen die Möglichkeit, internationalisierte Domain Names (IDN) zu verwenden. Dahinter steckt der Gedanke, sprachenspezifische Skripts oder Zeichen als Teil von Domänennamen zu erlauben, die zum lateinischen Alfabet gehören.

Allerdings dürfen die Sicherheitsauswirkungen der IDN nicht außer Acht gelassen werden. Bekanntlich nutzen Cyberkriminelle jede technologische Entwicklung, um Geld zu verdienen.

Top Level IDNs

Ursprünglich gehörten die Länder-Top-Level-Domänen (country-code top level domains — ccTLDs) nicht zur IDN-Implementierung. Beispielsweise ließen sich kyrillische Zeichen in einer .ru-Domäne verwenden, doch der Länder-Code war dennoch nicht in kyrillischen Zeichen. Verschiedenen internationalisierte Domain Names sind bereits für die Nutzung in den folgenden Ländern bewilligt worden:

  • China (中国 and 中國)
  • Ägypten (‏مصر)
  • Hongkong (香港)
  • Russland (рф)
  • Saudi Arabien (السعودية)
  • Taiwan (台灣 and 台湾)
  • Vereinigte Arabische Emirate (امارات)

Die erste Bedrohung, die in den Sinn kommt, bezieht sich auf das so genannte Domain Squatting (Besetzen) in diesen neuen Länder-Code-Domänen. Als Illustration dient das Beispiel einer fiktiven Firma Bingo. Angenommen jemand registriert bingo.рф bevor Bingo selbst dazu kommt. Die Kunden dieser Firma wären der Gefahr des Phishings durch bingo.рф ausgesetzt, bevor die legitime Firma ihre Domäne registrieren kann. Dieses Risiko träte jedes Mal auf, wenn eine neue TLD bewilligt wird, die auf eine existierende Organisation anwendbar ist.

Doch es kommt noch schlimmer. Mit einer gültigen Registrierung ist es nicht schwierig nachzuweisen, dass man eine Domäne besitzt und folglich ein SSL-Zertifikat haben will. Damit aber lassen Kriminelle Anwender in dem irrigen Glauben, sie besuchten eine legitime Site. Dagegen hilft nur Wachsamkeit auf Seiten der Domain-Besitzers und Registrare sowie Vorsicht bei den Nutzern. Leider prüfen Nutzer bekanntlich nicht alle URLs sorgfältig, und viele sind sich der Risiken durch Phishing auch nicht bewusst. Folgende Tabelle zeigt die Ziele, die Cyberkriminelle im August über Phishing angegriffen haben:

Cyberkriminelle würden an dieser Angriffsmethode nicht dranbleiben, wäre sie nicht profitabel.

Synchronisierte Länder-Code Top-Level Domains

Noch komplizierter wird die Angelegenheit durch die synchronisierten ccTLDs. Nutzer erwarten aus kultureller oder sprachlicher Tradition, dass Domänen unter jeder ccTLD „zu derselben Adresse oder demselben Wert aufgelöst“ werden. Für die aktuellen internationalen ccTLDs sind die chinesischen die offensichtlichen Kandidaten. Sowohl China als auch Taiwan haben jeweils zwei ccTLDs erhalten, doch sind diese synonym und unterscheiden sich nur in der Schreibweise – China bevorzugt die vereinfachten Zeichen, während Taiwan den traditionellen Zeichen den Vorrang gibt.


Die dargestellten IDNs würden als identisch gelten, wenn sie in Unicode geschrieben wären und könnten in DNS eingefügt werden, sodass sie alle identische Registrierungen haben. Doch diese Funktion ist noch nicht aktiv.

In direkter Verbindung damit steht eine weitere Diskussion darüber, dieselbe Funktionalität auch auf der zweiten Ebene anzubieten. Synchronisierte ccTLDs hätten nur wenige Synonyme (etwa die von der ICANN bewilligten), doch synchronisierte Domain Names (etwa wie XYZ.com mit xyz.com und Xyz.com) hätten viel mehr mögliche Kombinationen, abhängig von der benutzten Sprache beziehungsweise Script.

Dieser Bereich birgt das Potenzial für viele Probleme für die Sicherheitsanbieter. Werden sie nämlich alle als unterschiedlichen Domänen erachtet, müsste jede individuelle Variante einer Domäne identifiziert werden, die ein bösartiger Server nutzt.

Internationalisierte Domain Names auf Standard Top-Level Domains

Wie bereits erwähnt, unterstützen einige ccTLDs IDNs, auch wenn ihre Länder-Codes noch das lateinische Alfabet nutzen. Siehe auch “Can IDN Use Open a Can of Unicode Worms?”. Theoretisch kann niemand einen Menschen daran hinder, einen ähnlich aussehenden Namen in .com (etwa paypal) zu registrieren, wenn er ein anderen Zeichensatz verwendet. Dies nennt man IDN Homograph-Angriff oder ASCII-Spoofing. Was in der Theorie Furcht einflößend klingt, ist in der Praxis jedoch schwer zu implementieren. Um einen solchen Angriff erfolgreich auszuführen, müsste der Kriminelle einen Domänennamen finden, der aus Zeichen besteht, die alle in einem anderen Skript vorhanden sind.

Es gibt eine ICANN-Regel, die eine Person daran hindern soll, einen Domänennamen zu registrieren, der aus Zeichen aus mehr als einem Skript besteht. Das Ziel ist, den Zeichenraum so einzuschränken, dass ein Wort nicht aus unterschiedlichen Zeichensätzen gebildet werden kann. Tatsächlich aber gibt es Proofs-of-Concept, die in der Lage sind, Unicode-Implementierungen dazu zu bringen, Zeichen aus anderen Sätzen darzustellen. Doch dies bedarf sehr stark kontrollierter Bedingungen und ist daher schwer auszunutzen.

Trend Micro-Lösungen

Der Webreputationsdienst kann mit den IDNs sehr gut umgehen, und daher sind Anwender der Lösungen von Trend Micro sicher vor den beschriebenen Gefahren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*