/JFK-Akten: DNSSEC liefert Frischfutter für Verschwörungstheoretiker

JFK-Akten: DNSSEC liefert Frischfutter für Verschwörungstheoretiker

JFK-Akten: DNSSEC liefert Frischfutter für Verschwörungstheoretiker

(Bild: Mike Foster, gemeinfrei (Creative Commons CC0) )

Au Backe! Zahlreiche Interessenten, die auf kürzlich freigegebene Akten zum Attentat auf John F. Kennedy zugreifen wollten, erhielten nur eine Fehlermeldung!! Wollte da jemand etwas vertuschen? Etwas “Vermischtes” für Nerds mit Hang zu Netztechnik.

Viele Nutzer, die dieser Tage auf den US-amerikanischen Webserver National Archives zugreifen wollen (normalerweise zu finden unter der Domain www.archives.gov), bekommen stattdessen nur eine leere Seite mit einer Fehlermeldung. Nichts Ungewöhnliches eigentlich, denn vorübergehend nicht erreichbare Webserver gehören zum Internet wie Akne-Pickelchen zum Erwachsenwerden. Doch dieser Fall gab bestimmten Nutzern Anlass zu sehr bedeutsamem Stirnrunzeln, denn auf diesem Server hat die US-Regierung unter anderem die inzwischen freigegebenen Akten zum Attentat auf den 35. amerikanischen Präsidenten John F. Kennedy veröffentlicht. Und das Attentat vom 22. November 1963 in Dallas, Texas, das staatliche Stellen einem gewissen Lee Harvey Oswald zuschrieben, ist bis heute legendenumwoben; Oswald wurde kurz nach seiner Festnahme ermordet.

Spätere Untersuchungen deckten Schlampereien, Widersprüche und sogar Fälschungen in den ersten Ermittlungen auf, doch das Rätsel um Täter und Motiv blieb und ließ viel Raum für Spekulationen. Von den endlich gemäß den US-Richtlinien am 26. Oktober 2017 freigegebenen Akten erhofften sich Verfechter von anderen Attentats-Theorien sicherlich Munition für ihre einzig wahre Interpretation – und dann das: Anstatt wie üblich die Startseite der National Archives zu laden, zeigte der Browser vieler User nach einem kurzen Schluckauf nur eine Fehlermeldung.

Damit dürften Verschwörungstheorien neue Nahrung erhalten haben, denn man kann ja prima mutmaßen, dass da jemand doch noch in letzter Sekunde und höchster Not unliebsames Material unter Verschluss halten wollte.

Die Wahrheit sieht jedoch ernüchternd aus (hier wäre eine prima Gelegenheit, aus dem Artikel auszusteigen und zum Beispiel munter im Forum zu diskutieren, denn jetzt wirds technisch): Betroffen waren nur Nutzer, deren Betriebssystem die Schutzfunktion DNSSEC verwendet und dafür auf bestimmte DNS-Resolver zugreift – aus deren Sicht ist DNSSEC auf dem Server www.archives.gov defekt.

DNSSEC schützt vor Manipulationen von DNS-Auskünften, indem es DNS-Daten kryptografisch absichert. PCs, Smartphones, Tablets – alle brauchen DNS-Ausküfte, um Server im Internet anhand ihrer IP-Adresse anzusteuern (zum Beispiel findet man ct.de unter 193.99.144.80 oder 2a02:2e0:3fe:1001:302::, oh, Gott, IPv6! Igitt!!). Auf dem Server www.archives.gov ist DNSSEC jedoch für Resolver defekt, die mit BIND9 arbeiten (und BIND9 ist sehr verbreitet). Außerdem setzen die DNS-Server von Cloudfront das AA-Flag nicht korrekt (authoritative answer). Das dürfte ein Problem der DNS-Load-Balancer sein. Aber darüber kann man jetzt natürlich auch prima spekulieren: War auch diese Aktion von den Verschwörern geplant?

Jedenfalls (der Teig wird länger und länger und das Brot nicht fertig, bleiben Sie aber bis zum Schluss dran, liebe(r?) Leser…): Wenn DNSSEC fehlkonfiguriert ist, ist der Manipulationsschutz ausgehebelt. Und wenn das der Fall ist, darf der befragte DNS-Server (Resolver) die DNS-Information nicht weitergeben; sie könnte ja manipuliert sein (oha!). Der Browser kann daher den betreffenden Server nicht finden und die Web-Seite nicht öffnen.

Jedoch: Einige zackige Provider, die validierende Resolver einsetzen, haben die DNSSEC-Prüfung des Domainnamens “www.archives.gov” temporär ausgesetzt (Negative Trust-Anchor). Damit funktioniert für deren Nutzer der DNS-Dienst auch für www.archives.gov wieder reibungslos, weil diese Domain schlicht nicht validiert wird, solange sie fehlkonfiguriert ist.

Die Ursache der Fehlkonfiguration ist banal: Im Jahr 2009 hat die US-Regierung alle Betreiber von Domains mit der Endung “.gov” verpflichtet, die Sicherheitstechnik DNSSEC einzuführen. Seitdem ist auch die Domain “archives.gov” signiert, also per DNSSEC abgesichert. Jahrelang klappte der Betrieb reibungslos.

Doch offenbar unter der Erwartung eines Ansturms auf die Ermittlungsakten haben sich die Administratoren der Seite entschieden, die Domain www.archives.gov an den Dienstleister Cloudfront auszugliedern (Outsourcing). Aber Cloudfront verwendet DNSSEC nicht. Zudem haben die Admins von www.archives.gov den DNS-Dienst kurzerhand per CNAME-Eintrag auf Cloudfront umgeleitet (canonical name, ordnet einer Domäne einen weiteren Namen zu – was, Sie sind immer noch dabei? Boah!) und nicht geprüft, ob die DNSSEC-Validierung weiterhin funktioniert. Richtig wäre, auf Cloudfront per DNS-Delegation zu verweisen.

• Mehr zur Sicherheitstechnik DNSSEC

– wobei… DNSSEC ist veraltet und kompliziert und nutztlos und überhaupt ein Murks, you name it…

(Hm… Und jetzt? Das klingt doch viel zu einfach. Das riecht doch förmlich nach Vertuschung!?)


(dz)