14. November 2007

Kleine Analyse des Zonenklaus

Category: Hacking — Christian @ 00:49

Nachdem die Zonendaten von Arcor offensichtlich frei zum Download angeboten werden (ein irgendwie gearteter Schutz wie ihn z.B. § 202a StGB fordert ist nicht zu erkennen) habe ich mir mal ein paar Gedanken gemacht.

Welche Zonen verwaltet Arcor?

Problem: Wie kommt man an Domains, die von Arcor entweder komplett gehostet werden oder zu denen von Arcor zumindest der Secondary bereitgestellt wird?

DeNIC kann man leider (zum Glück?) fast vergessen. Ein Zonentransfer der gesamten de-Zone ist nicht möglich, es bliebe lediglich, über ein Script die technischen Daten der diversen Domains unterhalb .de abzufragen. Dort steht nämlich der für die jeweilige Zone autoritative Nameserver und wenn dort die Arcor-Server auftauchen, ist ein Zonentransfer möglich. Nur verwaltet DeNIC inzwischen 11.482.128 Domains (Stand 13.11.07, 23:05), da dauern die Abfragen dann leider etwas länger. Sehr unbefriedigend.

Bei RIPE gibt es ein paar mehr Möglichkeiten. Immerhin gibt es dort eine Menge Suchmöglichkeiten, nur halt leider nicht so recht für DNS. Es gibt zwar einen RIPE-Eintrag „mnt-domains“, da steht dann auch gerne mal „ARCOR-MNT“ drin aber leider lässt sich nach diesem Feld auch in der Advanced Suche nicht suchen. Ich vermute ja mal, ARCOR-MNT bedeutet, diese Daten werden von Arcor als Maintainer verwaltet. Nach den Netzwerk-Verwaltern („mnt-by“) lässt sich jedoch suchen, also muss diese Alternative herhalten. RIPE zeigt zwar nur 100 Einträge an, das reicht aber erst einmal für eine erste Auswertung.

Ergebnis der Auswertung

Die meisten Unternehmen deren Netze bei Arcor liegen lassen auch die Domains von Arcor mitverwalten. Von ca. 50 untersuchten Unternehmen konnte ich immerhin 41 Zonenfiles ergattern. Von diesen enthalten wiederum 5 Zonenfiles interne private IP-Adressen oder sonstige interne Daten.

Zone „sdata.de“:

Hier wimmelt es nur so von internen IP-Adressen, eine kleine Auswahl:

luna A 192.168.33.67
obsidian A 192.168.33.68
rbsoft A 192.168.32.10
sisko A 192.168.33.65
wl100 A 192.168.133.100
wl101 A 192.168.133.101
wl102 A 192.168.133.102
wl103 A 192.168.133.103
wl104 A 192.168.133.104

Zone „spd.de“:

Auch hier gehen die privaten IP-Adressen nicht so schnell aus:

it-forum A 10.0.0.75
kis A 10.0.0.31
kis2 A 10.0.0.32
zeiterfassung A 10.0.0.56

Oha, die SPD lässt stempeln? Kein Vertrauen zu den ausgebeuteten Mitarbeitern der Arbeiterklasse?

vpngate A 195.50.146.134
webmail A 195.50.146.135
koalitionsvertrag A 195.227.129.132

Aha, hier kann man vielleicht den Koalitionsvertrag herunterladen? Heute ist übrigens Franz Müntefering (lesenswerter Link!) zurückgetreten. Fehlen noch Schäuble, Jung, Zypries und Merkel.

Zone „insiders.de“:

Das ist eine besonders schöne Zone, hier hat ein Angreifer bestimmt viel Freude:

_msdcs NS nebukadnezar.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, jukebox.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, nebukadnezar.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, jukebox.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, nebukadnezar.insiders.de
jukebox A 193.22.3.16
nebukadnezar A 193.22.3.42

Für mich sieht das verdächtig nach zwei Domaincontrollern aus. Den Merowinger, Trinity und Neo gibt es in diesem Netz übrigens auch. Ein paar private Adressen fanden sich zum Schluss sowieso noch:

siemens A 192.168.22.23

Zone „tzdresden.de“:

Ein Eintrag ist mir in dieser Zone noch nicht ganz klar geworden:

b161f236-d9a2-43f4-bc8f-e9ba60373639._msdcs CNAME innovativ.tzdresden.de

Kann mir jemand mal bitte die Nummer erklären?

Und noch etwas sinnlose Statistik

Da die Gesamtdatenmenge etwas zu klein ist, sind die folgenden Aussagen natürlich Unsinn … aber amüsant.

  • 10% der untersuchten Unternehmen halten Daten auf öffentlichen DNS-Servern, die da nichts zu suchen haben
  • mindestens 5% der untersuchten Unternehmen hatten in den letzten Jahren Sicherheitsanalysen, ohne auf dieses potentielle Problem aufmerksam gemacht worden zu sein
  • Alle Zonenfiles größer als 8 KB (außer die von Arcor selbst) enthielten private Daten
  • www und mail, gegebenenfalls noch mit Ziffer danach sind die beliebtesten Rechnernamen

Wer weitere Daten aus den Arcor-Zonenfiles zusammenträgt darf mir gerne eine Mail schicken …