geops.ch von DNS-Hijacking Vorfall bei Gandi betroffen

Am 7. Juli gab es einen Vorfall beim DNS-Registrar Gandi, bei dem die Nameserver von insgesamt 751 Domains ausgetauscht wurden. Gandi schreibt in ihrem Incident Report davon, dass die Änderung durch einen "unautorsierten Zugriff bei einem ihrer technischen Provider" vollzogen wurde. Der Vorfall ereignete sich um 13:00 MESZ. Gandi bestätigte den Vorfall wenig später per Twitter, und meldete um ca. 16:00, dass alle unautorisierten Änderungen zurückgesetzt wurden (Timeline).

Ziel des Hijackings war offenbar die Verbreitung von Malware, wie die für .ch-Domains zuständige Registry switch.ch in einem Blogeintrag analysierte. Wie dem Blogeintrag zu entnehmen ist, wurden auf diese Weise "gekaperte" (hijacked) Domains auf ein "Traffic Distribution Network" umgeleitet, und von dort aus in manchen Fällen zu einer Webseite, die versuchte, Besucher mit einer Malware zu infizieren. Von diesem Hijacking war auch die bei Gandi registrierte Domain geops.ch betroffen. Wir konnten nachvollziehen, dass die geOps Webseite (http://geops.ch) von der Umleitung auf das Traffic Distribution Network betroffen war.

Auf eine andere Art von dem Vorfall betroffen waren Dienste, die von geops im Auftrag von Kunden unter der Domain trafimage.ch gehostet werden, darunter das Trafimage Webkartenportal, und die Bahnhofpläne auf der SBB-Webseite. Diese Webseiten und Dienste waren jedoch nicht von der Weiterleitung auf Malware-Seiten betroffen sondern in der fraglichen Zeit schlichtweg nicht erreichbar. Die Domain trafimage.ch war nicht direkt vom Hijacking betroffenen. Dass die Dienste unter dieser Domain trotzdem nicht erreichbar waren, liegt daran, dass sie über CNAME Records auf Domains unter .trafimage.geops.ch verweisen (Siehe Abschnitt "Hintergrund: DNS-Weiterleitung mit CNAME Records"). Der "falsche" DNS-Server beantwortete Anfragen nach solchen Subdomains jedoch mit "Non-Existent Domain". Durch die dezentrale Struktur des DNS-Systems, das die Antworten auf DNS-Abfragen an vielen Stellen zwischenspeichert um Last zu reduzieren, dauerte es auch nach dem Beheben des Problems durch Gandi noch ca. eine Stunde, bis die falsche Information ("Diese Domain existiert nicht") nach und nach aus den Caches verdrängt wurde.

Hintergrund: DNS-Weiterleitung mit CNAME Records

Auch im DNS lassen sich Weiterleitungen einrichten. Diese funktionieren allerdings anders als HTTP-Weiterleitungen. Zum Beispiel ist maps.trafimage.ch ein sogenannter CNAME-Record, der nicht auf eine IP-Adresse, sondern auf eine andere Domain, in diesem Fall entry.trafimage.geops.ch verweist. Der name entry.trafimage.geops.ch wiederum verweist auf die IP-Adresse des für maps.trafimage.ch zuständigen Webservers. Theoretisch sind auch längere Ketten von Weiterleitungen möglich. Für Browser und Benutzer ist diese Weiterleitung völlig transparent: Sie wird aufgelöst, bevor der Browser den Request überhaupt versendet. Der Browser lässt den Namen maps.trafimage.ch vom Betriebssystem auflösen und erhält direkt die IP-Adresse zurück.

Update 11.07.2017

Heute hat Gandi einen detaillierten Incident Report veröffentlicht.

6/10/2017
More on this topic
1 min reading time › | Blog

IT-TRANS 2022

The IT-TRANS takes place again - and we are there!

read more
2 min reading time › | Blog

Altlast4Web Go Live in Luzern

Die Zahl unserer Kunden für die Software Altlast4Web wächst weiter. Im August 2020 dürfen wir den Kanton Luzern als weiteren Kunden im produktiven Betrieb willkommen heissen. Die Umstellung erfolgte im ersten Halbjahr 2020 im Rekordtempo.

read more
1 min reading time › | Blog

Ärzte ohne Grenzen 2020

Auch 2020 haben wir die HelferInnen von Ärzte ohne Grenzen bei wichtigen Arbeit unterstützt.

read more
2 min reading time › | Blog

SCRUM - Agilität bei geOps

Die Zufriedenheit unserer Kunden und des gesamten geOps-Teams liegen uns sehr am Herzen. Um mit qualitativ hochwertigen Produkten die Kundenanforderungen zu erfüllen und gleichzeitig bei vielen Projekten den Überblick nicht zu verlieren, setzen wir bei geOps verschiedene Methoden des agilen Projektmanagements ein und kombinieren diese dynamisch miteinander.

read more
5 min reading time › | Blog

Praktikum bei geOps - Özkan Yanikbas

Im Zeitraum März bis Juli 2020 war ich Teil des geOps Teams in Freiburg, machte großartige Erfahrungen und nahm an interessanten Projekten teil. Hier gebe ich Einblicke in diese Zeit.

read more
2 min reading time › | Blog

Mitarbeiter-Workshop 2019

Auch in diesem Jahr fand Anfang Dezember unser jährlicher Mitarbeiter-Workshop statt. Dieses Mal verschlug es uns in den Kreativpark Lokhalle Freiburg – eine inspirierende Location und die perfekte Basis für einen kreativen Austausch innerhalb des geOps-Teams.

read more

Contact

geOps AG
Solothurnerstrasse 235
CH-4600 Olten

fon: +41 61 588 05 05
mail: info@geops.ch
geOps GmbH
Bismarckallee 10
D-79098 Freiburg

fon: +49 761 458 925 0
mail: info@geops.de