geops.ch von DNS-Hijacking Vorfall bei Gandi betroffen

Am 7. Juli gab es einen Vorfall beim DNS-Registrar Gandi, bei dem die Nameserver von insgesamt 751 Domains ausgetauscht wurden. Gandi schreibt in ihrem Incident Report davon, dass die Änderung durch einen "unautorsierten Zugriff bei einem ihrer technischen Provider" vollzogen wurde. Der Vorfall ereignete sich um 13:00 MESZ. Gandi bestätigte den Vorfall wenig später per Twitter, und meldete um ca. 16:00, dass alle unautorisierten Änderungen zurückgesetzt wurden (Timeline).

Ziel des Hijackings war offenbar die Verbreitung von Malware, wie die für .ch-Domains zuständige Registry switch.ch in einem Blogeintrag analysierte. Wie dem Blogeintrag zu entnehmen ist, wurden auf diese Weise "gekaperte" (hijacked) Domains auf ein "Traffic Distribution Network" umgeleitet, und von dort aus in manchen Fällen zu einer Webseite, die versuchte, Besucher mit einer Malware zu infizieren. Von diesem Hijacking war auch die bei Gandi registrierte Domain geops.ch betroffen. Wir konnten nachvollziehen, dass die geOps Webseite (http://geops.ch) von der Umleitung auf das Traffic Distribution Network betroffen war.

Auf eine andere Art von dem Vorfall betroffen waren Dienste, die von geops im Auftrag von Kunden unter der Domain trafimage.ch gehostet werden, darunter das Trafimage Webkartenportal, und die Bahnhofpläne auf der SBB-Webseite. Diese Webseiten und Dienste waren jedoch nicht von der Weiterleitung auf Malware-Seiten betroffen sondern in der fraglichen Zeit schlichtweg nicht erreichbar. Die Domain trafimage.ch war nicht direkt vom Hijacking betroffenen. Dass die Dienste unter dieser Domain trotzdem nicht erreichbar waren, liegt daran, dass sie über CNAME Records auf Domains unter .trafimage.geops.ch verweisen (Siehe Abschnitt "Hintergrund: DNS-Weiterleitung mit CNAME Records"). Der "falsche" DNS-Server beantwortete Anfragen nach solchen Subdomains jedoch mit "Non-Existent Domain". Durch die dezentrale Struktur des DNS-Systems, das die Antworten auf DNS-Abfragen an vielen Stellen zwischenspeichert um Last zu reduzieren, dauerte es auch nach dem Beheben des Problems durch Gandi noch ca. eine Stunde, bis die falsche Information ("Diese Domain existiert nicht") nach und nach aus den Caches verdrängt wurde.

Hintergrund: DNS-Weiterleitung mit CNAME Records

Auch im DNS lassen sich Weiterleitungen einrichten. Diese funktionieren allerdings anders als HTTP-Weiterleitungen. Zum Beispiel ist maps.trafimage.ch ein sogenannter CNAME-Record, der nicht auf eine IP-Adresse, sondern auf eine andere Domain, in diesem Fall entry.trafimage.geops.ch verweist. Der name entry.trafimage.geops.ch wiederum verweist auf die IP-Adresse des für maps.trafimage.ch zuständigen Webservers. Theoretisch sind auch längere Ketten von Weiterleitungen möglich. Für Browser und Benutzer ist diese Weiterleitung völlig transparent: Sie wird aufgelöst, bevor der Browser den Request überhaupt versendet. Der Browser lässt den Namen maps.trafimage.ch vom Betriebssystem auflösen und erhält direkt die IP-Adresse zurück.

Update 11.07.2017

Heute hat Gandi einen detaillierten Incident Report veröffentlicht.

6/10/2017

More on this topic

2 min reading time › | Blog

SCRUM - Agilität bei geOps

Die Zufriedenheit unserer Kunden und des gesamten geOps-Teams liegen uns sehr am Herzen. Um mit qualitativ hochwertigen Produkten die Kundenanforderungen zu erfüllen und gleichzeitig bei vielen Projekten den Überblick nicht zu verlieren, setzen wir bei geOps verschiedene Methoden des agilen Projektmanagements ein und kombinieren diese dynamisch miteinander.

read more
5 min reading time › | Blog

Praktikum bei geOps - Özkan Yanikbas

Im Zeitraum März bis Juli 2020 war ich Teil des geOps Teams in Freiburg, machte großartige Erfahrungen und nahm an interessanten Projekten teil. Hier gebe ich Einblicke in diese Zeit.

read more
4 min reading time › | Blog

Halbjahresworkshop 2020

Wer hätte bei unserem Workshop im Dezember vergangenen Jahres erahnen können, was uns 2020 erwartet. Trotz der Turbulenzen durch Corona haben wir das Ende des ersten Halbjahres 2020 als Anlass genommen, am 09.07.2020 unseren Halbjahresworkshop in der Lokhalle auf dem Güterbahnhofgelände Freiburg abzuhalten.

read more
4 min reading time › | Blog

geOps beim MobiData BW Hackathon

Vom 27. bis 29. November 2020 hat eine Handvoll unserer Mitarbeiter am MobiData BW Hackathon teilgenommen.

read more
2 min reading time › | Blog

Betriebsausflug – Berggeheimnis

read more
2 min reading time › | Blog

Altlast4Web Go Live in Luzern

Die Zahl unserer Kunden für die Software Altlast4Web wächst weiter. Im August 2020 dürfen wir den Kanton Luzern als weiteren Kunden im produktiven Betrieb willkommen heissen. Die Umstellung erfolgte im ersten Halbjahr 2020 im Rekordtempo.

read more

Contact

geOps AG
Solothurnerstrasse 235
CH-4600 Olten

fon: +41 61 588 05 05
mail: info@geops.ch
geOps GmbH
Kaiser-Joseph-Str. 263
D-79098 Freiburg

fon: +49 761 458 925 0
mail: info@geops.de