Die Internet Corporation for Assigned Names and Numbers (ICANN) ist eine privatrechtliche Non-Profit Organisation US-amerikanischen Rechts mit Sitz im kalifornischen Ort Marina del Rey. Mitunter entscheidet ICANN über die Verwaltung von Top-Level-Domains (TLD).

Ende 2008 wurde durch ICANN die Einführung neuer Adresszonen erlaubt. Damit wird es möglich, mehr oder weniger nach Belieben eigene TLDs zu registrieren. Eine solche Anmeldung ist mit erheblichem bürokratischem Aufwand verbunden. Zudem wird eine Zahlung von 185.000 US$ erforderlich. Erschwinglich wird eine solche also nur für grössere Unternehmen.

Obwohl ICANN als Non-Profit Organisation ausgewiesen wird, lassen die Entscheidungen bezüglich TLDs Zweifel über die wahren Hintergründe aufkommen. Technische Vorteile sind nur bedingt gegeben. Es scheint eher so zu sein, dass hier monetäre Absichten den Ausgang der Wahlen entscheiden würde. Mancherorts wird behauptet, dass ICANN mit der Öffnung die Geldmaschine mal wieder angeworfen hätte.

Die Öffnung der TLDs führt aber zusätzlich neue Sicherheitsrisiken ein. Diese kommen in der allgemeinen Berichterstattung und den daraufhin geführten Diskussionen leider viel zu knapp zum Tragen. Aus diesem Grund wollen wir hier die zentralen Aspekte zusammenfassen:

• Verworrene Identifikation: Das Identifizieren von Zielen ist nicht mehr oder nur mit erheblichem Aufwand möglich. So bleibt unklar, ob nun die offizielle Webseite zum iPhone unter apple.com/iphone, iphone.com oder iphone.apple gesucht werden müsste. Dieses Problem existierte zwar schon seit jeher, wird aber durch neue TLDs nur noch verschärft.

• Ähnliche Schreibweisen: Die ähnliche Schreibweise von Domains wurde seit langem durch Angreifer missbraucht, um zum Beispiel Phishing- und Pharming-Attacken durchzuführen. So wurden Seiten wie postf1nance.ch oder creditsuisse-bank.com eingesetzt, um Opfer auf die vermeintlich legitimen Seiten zu locken. Mit neuen TLDs eröffnen sich weitere Möglichkeiten dieser Art. Dazu gehören beispielsweise .corn anstelle von .com (via @stfn42) und .orq anstelle von .org.

• Reservierte Worte: Es gibt eine Reihe von reservierten Worten, die im DNS- und IT-Bereich anzutreffen sind. Kann sich jemand ein solches oder ein ähnliches als TDL registrieren, eröffnen sich ganz neue Zugriffs- und Angriffsmöglichkeiten. Dazu gehören beispielsweise .localhost, .local, .www, .mail, .smtp, .pop und .test.

• Zahlen täuschen IP-Adressen vor: Jenachdem welche Einschränkungen auferlegt sind, können zahlenbasierte TLDs zum Einsatz kommen und hier wiederum Verwechslungen provozieren. Eine TLD wie .l0 könne missbraucht werden, um eine Adresse wie l0.0.0.l0 zu konstruieren – Die TLD besteht aus dem Buchstaben l und nicht aus der Ziffer 1. Zwar existiert .io – wird zu .IO – schon, jedoch können eine Vielzahl an Abwandlungen hiervon erstellt werden.

• Eingabeüberprüfungen funktionieren nicht mehr: Viele Eingabeüberprüfungen für Domains, vor allem solche auf der Basis regulärer Ausdrücke, werden nicht mehr oder nur noch fehlerhaft funktionieren. Dies kann einerseits nicht mehr funktionierende Applikationen zur Folge haben. Andererseits kann es in vereinzelten Fällen auch beobachtet werden, dass sich damit Einschränkungen umgehen und erweiterte Rechte erlangen lassen.

Befürworter des neuen Systems argumentieren, dass es nicht Aufgabe der Domainnamen ist, eine Authentisierung und Identifizierung vorzunehmen – Dies müsse auf anderer Ebene durchgesetzt werden. In der Tat eignet sich das Domainsystem nicht, um dieser Anforderung gerecht zu werden. Dennoch war es bis dato ein einfaches Mittel, um gerade für Laien eine rudimentäre Möglichkeit der Zielidentifikation umzusetzen. Fällt diese nun aufgrund des Bruchs der Systemstruktur komplett weg, wird es immer schwieriger sich zu orientieren.

Aus unserer Sicht bleiben die letzten Entscheidungen der ICANN bezüglich TLDs fragwürdig. Dies sowohl aus benutzertechnischer als auch aus sicherheitstechnischer Sicht. Aus diesem Grund würden wir von der Einführung der genannten Erweiterung abraten. Wir tweeten über das Thema mit dem Hashtag #tldmess. Weitere Informationen hierzu finden sich in unserem Interview für die SonntagsZeitung.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://par.icann.org/en/node/64
• http://search.twitter.com/search?tag=tldmess
• http://twitter.com/#!/hdmoore/statuses/83082140610330624
• http://twitter.com/#!/mruef/status/83900557080797184
• http://twitter.com/stfn42
• http://www.heise.de/netze/news/foren/S-ICANN-beschliesst-neue-Gelddruckmaschine/forum-203571/msg-20395070/read/
• http://www.icann.org
• http://www.icann.org/en/announcements/announcement-4-31may10-en.htm