DSL-Gratissurfen mit AOL - Studenten entdecken Systemfehler

Bei der AOL-Einwahl über T-DSL sei der Port 53 offen, ohne dass eine nähere Benutzerauthentifizierung notwendig wäre. Es genüge, einfach die von allen AOL-Benutzern deutschlandweit verwendete einheitliche Kennung anzugeben, wie sie auch im Internet zu finden ist. Der oben angesprochene Port 53 arbeitet mit dem User Datagramm Protocol und wird traditionell für die Namensauflösung verwendet, d.h. die Zuordnung einer IP-Adresse zu einem Rechnernamen. AOL habe den Namensservice allerdings großzügig freigegeben, damit eine Auflösung von "americaonline.aol.com" funktioniert, dem Host, zu dem bei der "richtigen" AOL-Verbindung ein VPN-Tunnel aufgebaut wird.

Diese allgemeinen Vereinbarungen sind jedoch kein Zwang: Jedem steht es frei, auf seiner Maschine auf diesem Port auch andere Dienste anzubieten, z.B. einen IP-Tunnel. Mit einem solchen wäre es dann möglich, bereits vor der eigentlichen AOL-Authentifizierung die gesamte Kommunikation über den Port-53-Tunnel zu schleusen. Dazu benötigt man nur einen beliebigen Rechner im Internet, welcher die Daten wieder ausgepackt und ins Netz weiterleitet. Dafür sind noch nicht einmal besondere Kenntnisse notwendig, da verschiedene Tunnelprotokolle UDP-basiert arbeiten. Sie können meistens leicht auf den Port 53 umkonfiguriert werden.

Bei Experimenten von Studenten der Uni Freiburg habe sich weiterhin gezeigt, dass der Rückweg sogar völlig ungehindert genutzt werden kann. Damit sei die Datenübertragung aus dem Internet zu über AOL eingewählten Rechnern völlig offen. Für verschiedene Sicherheitsaspekte dürfte dies interessant sein, besonders, da der offiziell angemeldete AOL-Nutzer eine weitere IP-Adresse für seine Kommunikation zugeteilt bekommt.

In einer Pressemitteilung empfiehlt die Uni Freiburg AOL, nicht alle Nameserver dieser Welt freizugeben, da bei der DSL-Einwahlprozedur IP-Adressen für aus AOL-Sicht zuverlässige Nameserver dem Nutzer übermittelt werden könnten. Solche Nameserver würden für AOL ihre Aufgabe bereits vollständig erfüllen, wenn sie ausschließlich die notwendigen AOL-Adressen auflösen und jeden weiteren Zugang unterbinden würden.

"Das hier beschriebene Problem ist eigentlich ein typisches Szenario für Anbieter kostenpflichtiger Netzzugänge, das jedoch schon seit Jahren bekannt sein müsste", kritisierte Dirk v. Suchodoletz vom Rechenzentrum der Uni Freiburg in einer Pressemitteilung.

Von AOL gab es auf Anfrage von Golem.de bis zum Redaktionsschluss noch keine Stellungnahme zur Meldung der Uni Freiburg.