geops.ch affected by DNS hijacking incident at Gandi

Am 7. Juli gab es einen Vorfall beim DNS-Registrar Gandi, bei dem die Nameserver von insgesamt 751 Domains ausgetauscht wurden. Gandi schreibt in ihrem Incident Report davon, dass die Änderung durch einen "unautorsierten Zugriff bei einem ihrer technischen Provider" vollzogen wurde. Der Vorfall ereignete sich um 13:00 MESZ. Gandi bestätigte den Vorfall wenig später per Twitter, und meldete um ca. 16:00, dass alle unautorisierten Änderungen zurückgesetzt wurden (Timeline).

Ziel des Hijackings war offenbar die Verbreitung von Malware, wie die für .ch-Domains zuständige Registry switch.ch in einem Blogeintrag analysierte. Wie dem Blogeintrag zu entnehmen ist, wurden auf diese Weise "gekaperte" (hijacked) Domains auf ein "Traffic Distribution Network" umgeleitet, und von dort aus in manchen Fällen zu einer Webseite, die versuchte, Besucher mit einer Malware zu infizieren. Von diesem Hijacking war auch die bei Gandi registrierte Domain geops.ch betroffen. Wir konnten nachvollziehen, dass die geOps Webseite (http://geops.ch) von der Umleitung auf das Traffic Distribution Network betroffen war.

Auf eine andere Art von dem Vorfall betroffen waren Dienste, die von geops im Auftrag von Kunden unter der Domain trafimage.ch gehostet werden, darunter das Trafimage Webkartenportal, und die Bahnhofpläne auf der SBB-Webseite. Diese Webseiten und Dienste waren jedoch nicht von der Weiterleitung auf Malware-Seiten betroffen sondern in der fraglichen Zeit schlichtweg nicht erreichbar. Die Domain trafimage.ch war nicht direkt vom Hijacking betroffenen. Dass die Dienste unter dieser Domain trotzdem nicht erreichbar waren, liegt daran, dass sie über CNAME Records auf Domains unter .trafimage.geops.ch verweisen (Siehe Abschnitt "Hintergrund: DNS-Weiterleitung mit CNAME Records"). Der "falsche" DNS-Server beantwortete Anfragen nach solchen Subdomains jedoch mit "Non-Existent Domain". Durch die dezentrale Struktur des DNS-Systems, das die Antworten auf DNS-Abfragen an vielen Stellen zwischenspeichert um Last zu reduzieren, dauerte es auch nach dem Beheben des Problems durch Gandi noch ca. eine Stunde, bis die falsche Information ("Diese Domain existiert nicht") nach und nach aus den Caches verdrängt wurde.

Hintergrund: DNS-Weiterleitung mit CNAME Records

Auch im DNS lassen sich Weiterleitungen einrichten. Diese funktionieren allerdings anders als HTTP-Weiterleitungen. Zum Beispiel ist maps.trafimage.ch ein sogenannter CNAME-Record, der nicht auf eine IP-Adresse, sondern auf eine andere Domain, in diesem Fall entry.trafimage.geops.ch verweist. Der name entry.trafimage.geops.ch wiederum verweist auf die IP-Adresse des für maps.trafimage.ch zuständigen Webservers. Theoretisch sind auch längere Ketten von Weiterleitungen möglich. Für Browser und Benutzer ist diese Weiterleitung völlig transparent: Sie wird aufgelöst, bevor der Browser den Request überhaupt versendet. Der Browser lässt den Namen maps.trafimage.ch vom Betriebssystem auflösen und erhält direkt die IP-Adresse zurück.

Update 11.07.2017

Heute hat Gandi einen detaillierten Incident Report veröffentlicht.

6/10/2017
More on this topic
1 min reading time › | Blog

geOps at IT-TRANS 2022

The IT-TRANS takes place again - and we are there!

read more
2 min reading time › | Blog

Altlast4Web Go Live in Lucerne

The number of our customers for Altlast4Web software continues to grow. In August 2020, we will welcome the canton of Lucerne as a further customer in productive in productive operation. The changeover took place in the first half of 2020 at a record record speed.

read more
1 min reading time › | Blog

Doctors Without Borders 2020

In 2020, we again supported the aid workers of Doctors Without Borders in their important work.

read more
5 min reading time › | Blog

Praktikum bei geOps - Özkan Yanikbas

Im Zeitraum März bis Juli 2020 war ich Teil des geOps Teams in Freiburg, machte großartige Erfahrungen und nahm an interessanten Projekten teil. Hier gebe ich Einblicke in diese Zeit.

read more
2 min reading time › | Blog

Mitarbeiter-Workshop 2019

Auch in diesem Jahr fand Anfang Dezember unser jährlicher Mitarbeiter-Workshop statt. Dieses Mal verschlug es uns in den Kreativpark Lokhalle Freiburg – eine inspirierende Location und die perfekte Basis für einen kreativen Austausch innerhalb des geOps-Teams.

read more
4 min reading time › | Blog

Semiannual workshop 2020

Who could have guessed at our workshop in December of last year what awaits us in 2020. Despite the turbulence caused by Corona, we have the end of the first half of 2020 as an opportunity to hold our half-year workshop on 09.07.2020 in the workshop in the Lokhalle on the freight yard in Freiburg. to be held.

read more

Contact

geOps AG
Solothurnerstrasse 235
CH-4600 Olten

fon: +41 61 588 05 05
mail: info@geops.ch
geOps GmbH
Bismarckallee 10
D-79098 Freiburg

fon: +49 761 458 925 0
mail: info@geops.de