14. November 2007

Kleine Analyse des Zonenklaus

Category: Hacking — Christian @ 00:49

Nachdem die Zonendaten von Arcor offensichtlich frei zum Download angeboten werden (ein irgendwie gearteter Schutz wie ihn z.B. § 202a StGB fordert ist nicht zu erkennen) habe ich mir mal ein paar Gedanken gemacht.

Welche Zonen verwaltet Arcor?

Problem: Wie kommt man an Domains, die von Arcor entweder komplett gehostet werden oder zu denen von Arcor zumindest der Secondary bereitgestellt wird?

DeNIC kann man leider (zum Glück?) fast vergessen. Ein Zonentransfer der gesamten de-Zone ist nicht möglich, es bliebe lediglich, über ein Script die technischen Daten der diversen Domains unterhalb .de abzufragen. Dort steht nämlich der für die jeweilige Zone autoritative Nameserver und wenn dort die Arcor-Server auftauchen, ist ein Zonentransfer möglich. Nur verwaltet DeNIC inzwischen 11.482.128 Domains (Stand 13.11.07, 23:05), da dauern die Abfragen dann leider etwas länger. Sehr unbefriedigend.

Bei RIPE gibt es ein paar mehr Möglichkeiten. Immerhin gibt es dort eine Menge Suchmöglichkeiten, nur halt leider nicht so recht für DNS. Es gibt zwar einen RIPE-Eintrag „mnt-domains“, da steht dann auch gerne mal „ARCOR-MNT“ drin aber leider lässt sich nach diesem Feld auch in der Advanced Suche nicht suchen. Ich vermute ja mal, ARCOR-MNT bedeutet, diese Daten werden von Arcor als Maintainer verwaltet. Nach den Netzwerk-Verwaltern („mnt-by“) lässt sich jedoch suchen, also muss diese Alternative herhalten. RIPE zeigt zwar nur 100 Einträge an, das reicht aber erst einmal für eine erste Auswertung.

Ergebnis der Auswertung

Die meisten Unternehmen deren Netze bei Arcor liegen lassen auch die Domains von Arcor mitverwalten. Von ca. 50 untersuchten Unternehmen konnte ich immerhin 41 Zonenfiles ergattern. Von diesen enthalten wiederum 5 Zonenfiles interne private IP-Adressen oder sonstige interne Daten.

Zone „sdata.de“:

Hier wimmelt es nur so von internen IP-Adressen, eine kleine Auswahl:

luna A 192.168.33.67
obsidian A 192.168.33.68
rbsoft A 192.168.32.10
sisko A 192.168.33.65
wl100 A 192.168.133.100
wl101 A 192.168.133.101
wl102 A 192.168.133.102
wl103 A 192.168.133.103
wl104 A 192.168.133.104

Zone „spd.de“:

Auch hier gehen die privaten IP-Adressen nicht so schnell aus:

it-forum A 10.0.0.75
kis A 10.0.0.31
kis2 A 10.0.0.32
zeiterfassung A 10.0.0.56

Oha, die SPD lässt stempeln? Kein Vertrauen zu den ausgebeuteten Mitarbeitern der Arbeiterklasse?

vpngate A 195.50.146.134
webmail A 195.50.146.135
koalitionsvertrag A 195.227.129.132

Aha, hier kann man vielleicht den Koalitionsvertrag herunterladen? Heute ist übrigens Franz Müntefering (lesenswerter Link!) zurückgetreten. Fehlen noch Schäuble, Jung, Zypries und Merkel.

Zone „insiders.de“:

Das ist eine besonders schöne Zone, hier hat ein Angreifer bestimmt viel Freude:

_msdcs NS nebukadnezar.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, jukebox.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, nebukadnezar.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, jukebox.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, nebukadnezar.insiders.de
jukebox A 193.22.3.16
nebukadnezar A 193.22.3.42

Für mich sieht das verdächtig nach zwei Domaincontrollern aus. Den Merowinger, Trinity und Neo gibt es in diesem Netz übrigens auch. Ein paar private Adressen fanden sich zum Schluss sowieso noch:

siemens A 192.168.22.23

Zone „tzdresden.de“:

Ein Eintrag ist mir in dieser Zone noch nicht ganz klar geworden:

b161f236-d9a2-43f4-bc8f-e9ba60373639._msdcs CNAME innovativ.tzdresden.de

Kann mir jemand mal bitte die Nummer erklären?

Und noch etwas sinnlose Statistik

Da die Gesamtdatenmenge etwas zu klein ist, sind die folgenden Aussagen natürlich Unsinn … aber amüsant.

  • 10% der untersuchten Unternehmen halten Daten auf öffentlichen DNS-Servern, die da nichts zu suchen haben
  • mindestens 5% der untersuchten Unternehmen hatten in den letzten Jahren Sicherheitsanalysen, ohne auf dieses potentielle Problem aufmerksam gemacht worden zu sein
  • Alle Zonenfiles größer als 8 KB (außer die von Arcor selbst) enthielten private Daten
  • www und mail, gegebenenfalls noch mit Ziffer danach sind die beliebtesten Rechnernamen

Wer weitere Daten aus den Arcor-Zonenfiles zusammenträgt darf mir gerne eine Mail schicken …

6 Comments

  1. Bei b161f236-d9a2-43f4-bc8f-e9ba60373639 handelt es sich um die Dsa_Guid eines Windows Domänencontrollers.

    Dsa_Guid steht für den GUID des Objekts „Verzeichnissystemagent“ (Directory System Agent/DSA) des Domänencontrollers.

    Ziel-Domänencontroller nutzen z.B den CNAME-Eintrag, um ihren Replikationspartner zu finden.

    Comment by Olli — 15. November 2007 @ 15:48

  2. Vielen Dank.
    Kann man mit der Dsa_Guid auch was praktisches anstellen? Beispielsweise den Domänencontroller zur Replikation mit einem „wilden“ Server zu bewegen oder ist das eine relativ harmlose Information?

    Comment by Christian — 16. November 2007 @ 18:59

  3. Naja, der Eintrag könnte aufzeigen das sich min. 2 Domänencontroller der entsprechenden Firma über das Internet Replizieren. Benutzer, Rechte, Passworte über ein offenes Netz.

    Ich denke diese Daten gehen wohl nicht durch einen VPN-Tunnel, dann bräuchte man diesen Eintrag nicht auf einem öffentlichen DNS (wobei, man kann ja nie wissen)

    Wenn 2 Server sich für Replikation verbinden, müssen sich beide mit Kerberos V5 Authentifizieren, die Daten an sich werden über IP Verschlüsselt übertragen (Ich weis nicht welcher Algorythmus, MS hält sich da bedeckt). Ich denke nicht das ohne weiteres zwischenschalten kann (mir ist jedenfalls keine Sicherheitslücke bekannt)

    Ob der transfer dieser Daten übers Internet ein massives Sicherheitsproblem ist, ist „Ansichtssache“.
    Ich persönlich würde sie wohl durch einen VPN Tunnel senden (doppelt hällt besser), vor allem da ich keine sicheren Informationen zur Qualität der Verschlüsselung habe.

    Ansonsten hängt es im Prinzip von der Qualität der Verschlüsselung mit welcher die Server untereinander Kommunizieren, der möglichkeit an diese Packete zu kommen und diese dann zu manipulieren ab (Passworte ändern oder auslesen kommt mir da in den sinn).

    Ob man Praktischen „Unfug“ damit treiben könnte, kann ich nicht direkt sagen.
    Da es sich bei innovativ.tzdresden.de wohl um einen Domänencontroller unter Windows200x Server handelt, gibt es aber sicher einige leute die alleine mit einer solchen Information etwas anfangen können.

    Comment by Olli — 16. November 2007 @ 23:00

  4. Ich bin mir recht sicher, daß die Administratoren von tzdresden.de sich nicht im Klaren darüber sind, daß die Zonendaten so von außen erreichbar sind. Ich hab mit ein paar anderen Arcor-Kunden gesprochen, die sind aus allen Wolken gefallen, daß da der Zonentransfer möglich ist. Ich vermute, tzdresden.de nutzt einfach (weil es bequem ist) den Domänencontroller als DNS-Server für ihre IP-Adressen und repliziert dann alle internen und öffentlichen Adressen auf den Secondary DNS-Server bei Arcor.

    Ob es ein VPN gibt, keine Ahnung. Im Zonenfile sind jedenfalls IP-Adressen aus den Netzwerken 212.111.239.x, 145.253.107.x, 145.253.108.x, 213.23.100.x und 192.168.24.x drin. Möglicherweise gibt es da ein VPN zwischen mehreren Niederlassungen.

    Comment by Christian — 17. November 2007 @ 17:02

  5. Ich hab jetzt auch die Arcor Zonenfiles hochgeladen, falls es jemanden interessiert. Sind nur ein paar kleine Textdateien.

    Comment by Christian — 17. November 2007 @ 17:13

  6. Kommentare gesperrt wegen Spam

    Comment by Christian — 7. Juni 2012 @ 09:22

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.