[align=left]Die Websites des Messaging-Diensts WhatsApp, des Anti-Viren-Software-Herstellers Avira und weitere sind zum Opfer offenbar pro-palästinensischer Hacker geworden. Daten wurden nicht entwendet, für Nutzer aber bestand durchaus Gefahr. [/center]

Am Dienstag waren die Web-Auftritte der Anti-Viren-Spezialisten Avira und AVG sowie die des Messaging-Diensts WhatsApp das Ziel von Hacker-Angriffen. Wer die Seiten ansteuerte, stieß auf die Mitteilung "You Got Pwned" und eine pro-palästinensische Nachricht, außerdem erklang eine Hymne. Eine Gruppe namens "KDMS Team - Palestinian Hackers" übernahm zumindest für die WhatsApp-Attacken die Verantwortung.

Offensichtlich manipulierten die Angreifer die DNS-Namensverwaltung. Alle betroffenen Domains, zu denen neben den genannten noch der Erotikanbieter Redtube.com, der Statistikdienst Alexa.com sowie der Hoster LeaseWeb gehören, waren über den Domain-Registrar Network Solutions registriert. Dort scheint die Schwachstelle gelegen zu haben. Den Angreifern war es offenbar gelungen, die festgelegte DNS-Adresse zu verändern und den auflaufenden Traffic auf eigene Server umzuleiten.

Avira erklärte noch am Dienstag, anscheinend habe es eine gefälschte Anfrage nach einem Passwort-Reset gegeben, der der Provider Network Solutions entsprochen habe. "Mit Hilfe der neuen Login-Daten konnten die Cyber-Kriminellen die Zugänge zugunsten ihres eigenen DNS-Servers ändern."

Zu keiner Zeit habe eine Gefährdung für Kundendaten bestanden - schließlich waren die eigenen Systeme von dem Angriff gar nicht betroffen, lediglich die Besucher der Seiten wurden in die Irre geleitet. Auch von den anderen betroffenen Web-Auftritten liegen bislang keine Meldungen über durch die Attacke verursachte Schäden vor.

Dennoch dürfte der Vorfall bei den Network-Solutions-Kunden für einige Beunruhigung gesorgt haben. Denn theoretisch hätten die Hacker zwar nicht auf ihren jeweiligen Datenbestand zugreifen können, wohl aber auf den Traffic. Gerade für ein Antiviren-Unternehmen kann das fatale Folgen haben, wie "Heise" anmerkt.

Ein unzureichend geschützter Update-Prozess sei offen für Manipulationen durch Dritte. So hätten den Nutzern gefälschte Updates untergeschoben werden können, die womöglich Schadcode enthalten. Inzwischen sind die Web-Präsenzen aller attackierten Domains wieder ohne Schwierigkeiten erreichbar.

So funktioniert das DNS-System
DNS ist das Kürzel für "Domain Name System" und steht für eine Technik, die es erheblich erleichtert, das Internet zu benutzen. Das dem Internet als Netzstandard zugrunde liegende Internet-Protocol (IP) legt fest, dass jede Website durch eine aus vier Zahlen zusammengesetzte, vier- bis zwölfstellige IP-Adresse identifiziert wird. Im Grunde müsste man beim Websurfen deshalb immer Adressen nach dem Muster 195.71.11.67 (SPIEGEL ONLINE) in die Adresszeile des Browsers eingeben. Doch wer könnte sich schon die IP-Adressen all seiner Lieblings-Websites in dieser Form merken?

Als Lösung für dieses Problem wurde das DNS-System entwickelt. Dabei handelt es sich um Datenbanken, in denen jeder IP-Adresse ein für Menschen verständlicher Name zugeordnet ist. Im Fall von SPIEGEL ONLINE übersetzt eine solche Datenbank die Browsereingabe SPIEGEL ONLINE - Nachrichten in die IP-Adresse 195.71.11.67. Weil aber eine einzige Datenbank nicht ausreichen würde, um die Anfragen aller Internetnutzer zu beantworten, gibt es davon etliche Kopien, welche die Zugangsanbieter auf ihren eigenen DNS-Servern bereithalten und deren Datenbestände regelmäßig untereinander abgleichen.

Zudem bleibt es oft nicht bei einer einzigen DNS-Anfrage, wenn eine Seite aufgerufen wird, da es in der Natur des Web liegt, Seiten miteinander zu vernetzen. Beispielsweise wenn Bilder, Texte oder Videos aus anderen Quellen eingebunden werden, können beim Aufruf der Seite mehrere DNS-Anfragen nötig sein, um alle Inhalte laden zu können - und das kann Zeit kosten.