Angriffe wie der gegen die New York Times sollten die Verbraucher in Alarmbereitschaft versetzen

Die hochkarätigen Angriffe der syrischen elektronischen Armee gegen die New York Times und Twitter haben viel Aufmerksamkeit auf sich gezogen – und einige ängstliche Fragen zu Schwachstellen im Internet aufgeworfen.

Die am Dienstag verwendete Angriffsart ist als Domain Name System oder DNS-Hijacking bekannt, wie mein Washington Post-Kollege Timothy B. Lee ausführlich erläuterte. Kurz gesagt, diese Art von Angriff ändert Informationen im DNS, einem System, das im Wesentlichen als Telefonbuch für das Internet fungiert, indem es Benutzer, die eine Webadresse eingeben, an die richtige Stelle leitet. Ein DNS-Hijack ändert, wie Lee erklärte, wohin Benutzer geleitet werden, wenn sie eine Adresse wie nytimes.com oder washingtonpost.com eingeben. Bei den Angriffen vom Dienstag konnten die Hacker über ein Drittunternehmen, Melbourne IT, das Domainnamen registriert, auf diese Aufzeichnungen zugreifen.

Die SEA benutzte diese Methode, um Unfug zu stiften und öffentlich zu machen, was sie tat, aber Sicherheitsforscher sagten, dass andere mehr Schaden anrichten könnten.

Der Sicherheitsberater von F-Secure, Sean Sullivan, sagte beispielsweise, dass Hacker diese Methode verwenden könnten, um Benutzer, die sich beispielsweise bei einer Banking-Website anmelden, auf eine falsche Version des Anmeldebildschirms des Unternehmens umzuleiten und Personen zum Anmelden zu verleiten.

Sullivan merkte jedoch an, dass dies für groß angelegte Angriffe möglicherweise nicht effektiv ist und Hacker nicht in der Lage wären, den Anschein einer sicheren Verbindung zu duplizieren – das „https“, das die Vorderseite fast jeder Webadresse eines Finanzinstituts ziert, und lässt die Leute wissen, dass die Site, auf der sie sich befinden, sicher ist.

Timo Hirvonen, Sicherheitsanalyst bei F-Secure, sagte, dass jeder, der auf eine gefälschte Seite geleitet wird, eine Benachrichtigung erhalten sollte, dass die von ihm besuchte Website nicht verifiziert ist. Benutzer sollten daher aufmerksam auf angezeigte Warnungen achten oder sicherstellen, dass sie sich auf einer „https“-Site befinden, bevor sie vertrauliche Informationen eingeben.



Es kann schwierig sein, sich vor dieser Art von Angriff zu schützen, sagte Kenneth Geers, ein leitender globaler Bedrohungsforscher bei der Sicherheitsfirma FireEye. Unternehmen mit komplexen Webseiten müssen nicht nur ihre eigene Sicherheit verbessern, sondern sich auch auf eine Reihe anderer Organisationen wie Melbourne IT verlassen.

'Es muss für die New York Times und Twitter verrückt werden', sagte er. „Die Lieferkette [der Informationstechnologie], von der sie abhängen, ist einfach zu groß.“

Ein Angriff auf die Washington Post und andere Organisationen Anfang dieses Monats bietet ein weiteres Beispiel dafür, wie kompliziert es sein kann, jeden Aspekt einer Website zu schützen. Bei diesem Angriff brachen Mitglieder der SEA einen Drittanbieter von Inhalten namens Outbrain und nutzten ihn, um den Verkehr auf bestimmten Artikelseiten von Post umzuleiten.

Komplexität ist der Feind der Sicherheit, sagte Geers.

Diese Angriffe, die einige Benutzer der Times und Twitter bis in den Mittwoch hinein betrafen, könnten aus zwei Gründen so lang anhaltende Auswirkungen haben, sagte Kenneth Geers, ein leitender globaler Bedrohungsforscher bei der Sicherheitsfirma FireEye.

Zum einen dauert es eine Weile, bis sich DNS-Informationen durch das Netzwerk bewegen – was erklären könnte, warum einige, aber nicht alle Benutzer Probleme mit den angegriffenen Websites hatten. Geers sagte auch, dass die Sicherheitsverantwortlichen der Times und Twitter möglicherweise nicht mit dieser Art von Angriff gerechnet haben und überrascht wurden. Und in einigen Fällen von DNS-Angriffen könnten Hacker Code in Unternehmensnetzwerke eingeschleust haben, der den Angriff auch nach der Lösung erneut wiederholt.

„Einige Netzwerke werden nach dieser Art von Angriff möglicherweise nie mehr dieselben sein“, sagte er.

In einer früheren Version dieser Geschichte wurde der Name von Timo Hirvonen falsch geschrieben. Diese Version wurde korrigiert.