Die Forscher Srinivas Krishnan und Fabian Monrose von der University of North Carolina haben im April ein Papier (PDF) veröffentlicht, in dem sie darlegen, dass sich DNS-Prefetching zum Ausspionieren von Google-Suchen missbrauchen lässt. Da die angezeigten Treffer einer Google-Suche über längere Zeit identisch sind, kann man anhand der DNS-Queries, die beim Anzeigen des Suchergebnisses ausgelöst werden, Rückschlüsse auf die Suche ziehen.
Dazu werteten die Forscher den Cache eines DNS-Servers aus, der von allen Benutzern ihrer Fakultät verwendet wird. Einträge im Cache, die innerhalb eines Zeitraums von wenigen Sekunden hinzugekommen sind, stammen mit hoher Wahrscheinlichkeit vom DNS-Prefetching derselben Google-Query.
Allerdings befindet sich im Cache nicht der Zeitpunkt, wann der Eintrag generiert wurde, sondern nur die Restlaufzeit, wie lange die zwischengespeicherte Information noch gültig ist. Die Gesamtlaufzeit lässt jedoch beim autoritativen DNS-Server abfragen. Zieht man davon die Restlaufzeit ab, erhält man die Anzahl der Sekunden, wie lange sich ein Eintrag schon im Cache befindet.
In ihrem ersten Versuch haben die Forscher den Cache ihres Fakultäts-DNS-Servers gedumpt. Das bedeutet, dass sie für diesen Server Adminrechte benötigen. In der Praxis kann man jedoch nicht davon ausgehen, dass ein Angreifer diese Rechte hat.
In einem zweiten Angriffsszenario stellten sie daher gezielte Abfragen an den DNS-Server, wozu keine Adminrechte erforderlich sind. Damit lassen sich bestimmte Google-Suchen finden. So konnten sie herausfinden, ob jemand nach Begriffen wie „Spielsucht“, „Alkoholentzugserscheinungen“ oder „häusliche Gewalt“ sucht.
Da nicht abgefragt werden kann, welche IP-Adresse einen Cache-Eintrag verursacht hat, ist ein solcher Angriff auf kleine und mittlere Firmen beschränkt, die eigene DNS-Server verwenden. Gegen die DNS-Server von großen Providern ist eine solcher Angriff nutzlos, da sie von zahlreichen Anwendern genutzt werden.
Auch in einer kleinen Firma kann ein Nutzer ohne Adminrechte nicht feststellen, wer nach bestimmten Begriffen sucht. Es lässt sich lediglich herausfinden, dass ein Kollege eine spezifische Suchanfrage gestellt hat. Das ist allerdings mit der Methode der Forscher sehr genau bestimmbar.
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…