Der Perl.com-Domain-Diebstahl: Wie ein 30 Jahre altes Community-Zuhause still gestohlen wurde
Ende Januar 2021 wurde perl.com – das jahrzehntelange Zuhause der Perl-Programmier-Community – durch einen Registrar-Account-Kompromiss gestohlen, über China übertragen, auf eine mit Malware verbundene IP-Adresse gezeigt und für 190.000 Dollar angeboten. Hier erfahren Sie, wie es passierte, wie es wiederhergestellt wurde und was es über die Sicherheit von Registrar-Accounts lehrt.
- domains
- security
- dns
- domain-security
Manche Domains sind Infrastruktur, die zufällig wie ein Name aussieht. perl.com ist eine davon. Es ist kein Marketing-Asset oder eine Marke, die jemand letztes Jahr aufgebaut hat – es ist ein Stück Internet-Mobiliar, um das die Perl-Programmier-Community seit den frühen Tagen des Webs gelebt hat: die kanonische Eingangstür zu Dokumentation, Artikeln und dem öffentlichen Gesicht der Sprache.
Als also am Morgen des 27. Januar 2021 diese Eingangstür plötzlich jemand anderem gehörte, war das kein cleverer Markenschachzug oder ein ausgehandelter Verkauf. Es war ein Diebstahl. Die Domain war Monate zuvor still aus den Händen ihres rechtmäßigen Besitzers herausgebrochen worden, hatte Registrare durchlaufen und zeigte auf eine IP-Adresse mit einer Vergangenheit in der Verbreitung von Malware. Die Netzwerkbetreiber der Community brachten es auf den Punkt: „Die perl.com-Domain wurde heute Morgen gekapert und zeigt derzeit auf eine Parking-Seite."
Dies ist die Geschichte von EP19 unserer Domain Mayday-Serie: wie eine dreißig Jahre alte Community-Domain gestohlen wurde, ohne dass jemand auch nur einen einzigen Server geknackt hat – und was es kostete, sie zurückzubekommen.
Eine Domain, die seit den frühen 90ern gehalten wurde
Um den Diebstahl zu verstehen, muss man verstehen, wie gewöhnlich die Situation war – und wie diese Gewöhnlichkeit die Schwachstelle war.
perl.com wurde nicht in einem gehärteten Unternehmenstresort aufbewahrt. Es wurde so gehalten, wie die meisten langlebigen Domains gehalten werden: von einer vertrauenswürdigen Person, bei einem gängigen Registrar, Jahr für Jahr ohne Drama erneuert. Der Editor der Seite, brian d foy, beschrieb die Abstammung später in seinem eigenen Bericht über den Vorfall: „Diese Domain wurde Anfang der 90er Jahre registriert, Tom Christiansen bekam kurz darauf die Kontrolle darüber und zahlte im Grunde einfach weiterhin die Registrierungsgebühren."
Das ist das vollständige Profil eines riesigen Anteils der wichtigsten Namen im Internet. Eine Person, ein Registrar-Login und drei Jahrzehnte stilles Bezahlen der Rechnung. Es funktioniert perfekt – bis der Registrar-Account selbst zum Ziel wird.
27. Januar 2021: Die Eingangstür wechselt die Schlösser
Der erste öffentliche Alarm kam von den Menschen, die die Infrastruktur der Perl-Community betreiben. Der Perl NOC (Network Operations Center) Blog meldete, dass die Domain „heute Morgen" gekapert worden sei und nun auf etwas zeige, wo sie nicht hingehört. Schlimmer als eine einfache Parking-Seite warnten die Betreiber, dass „es einige Signale gibt, dass es mit Seiten zusammenhängen könnte, die in der Vergangenheit Malware verteilt haben."
brian d foy machte es noch am selben Tag öffentlich. Berichte über den Vorfall bestätigten den Zeitpunkt in klaren Worten: „Am 27. Januar twitterte Perl-Programmierautor und Perl.com-Editor brian d foy, dass die perl.com-Domain plötzlich auf eine andere Person registriert worden sei."
Die Reaktion der Community war schnell und pragmatisch. Während die Wiederherstellungsarbeiten begannen, leitete der NOC die Leser auf ein Backup um: „Wenn Sie nach den Inhalten suchen, können Sie perldotcom.perl.org besuchen." Der kanonische Name war weg, aber die Inhalte blieben erreichbar.
Was auf dem Spiel stand: Eine mit Malware verbundene IP
Eine gestohlene Domain ist proportional zu dem Vertrauen gefährlich, das sie trägt – und perl.com trug sehr viel. Millionen von Entwicklern, Tutorials, CPAN-Tools und alte Links im gesamten Web zeigten auf sie. Wer den Namen kontrollierte, kontrollierte, wozu all dieses Vertrauen aufgelöst wurde.
Und der neue Besitzer zeigte ihn nicht auf etwas Harmloses. Wie BleepingComputer dokumentierte, „wurde der Domain-Name perl.com gestohlen und zeigt jetzt auf eine IP-Adresse, die mit Malware-Kampagnen in Verbindung steht."
Die technischen Fingerabdrücke waren spezifisch. Die DNS-Einträge wurden so umgeschrieben, dass „die der Domain zugewiesenen IP-Adressen von 151.101.2.132 zur Google Cloud IP-Adresse 35.186.238[.]101 geändert wurden." Dieses Ziel hatte eine Vergangenheit: „Im Jahr 2019 war die IP-Adresse 35.186.238[.]101 mit einer Domain verbunden, die eine Malware-Ausführungsdatei für die mittlerweile aufgelöste Locky-Ransomware verteilte."
Diese zwei Fakten kombiniert und die Gefahr ist offensichtlich. Ein Name, dem Entwickler reflexartig vertrauen, der plötzlich auf eine IP mit einer Malware-Geschichte zeigt, ist eine nahezu perfekte Grundlage, um genau die Art von technisch versiertem, sicherheitsbewusstem Publikum zu täuschen, das normalerweise schwer zu überlisten ist.
Wie es passierte: Der Registrar-Account, nicht der Server
Hier ist der Teil, der diesen Vorfall zu einem Lehrbuchfall statt einer Fußnote macht: Niemand hat den Webserver von perl.com gehackt und niemand hat ein DNS-Passwort erraten. Der Angriff geschah eine Ebene höher, beim Registrar – dem Unternehmen, das den autoritativen Datensatz darüber hält, wem der Name gehört.
In seiner Nachbereitung beschrieb brian d foy die Arbeitstheorie direkt: „Wir glauben, dass es einen Social-Engineering-Angriff auf Network Solutions gab, mit gefälschten Dokumenten und so weiter." Die Presse formulierte es genauso: Der Diebstahl war „ein Social-Engineering-Angriff, der den Registrar Network Solutions überzeugte, die Einträge der Domain ohne gültige Autorisierung zu ändern."
Das beunruhigendste Detail ist der Zeitplan. Die Community bemerkte es erst im Januar, aber der tatsächliche Kompromiss lag viel weiter zurück. Forensische Arbeit, die von Domain-Anwalt John Berryhill ans Licht gebracht wurde, schob das eigentliche Datum um Monate zurück; wie der perl.com-Bericht festhält, „lieferte John Berryhill einige forensische Arbeit auf Twitter, die zeigte, dass der Kompromiss tatsächlich im September stattgefunden hatte." SecurityWeek bestätigte die Geduld des Angreifers: „Der Angriff, erklärt er, fand im September 2020 statt" – ungefähr vier Monate, bevor irgendjemand die Auswirkungen sah.
Warum die lange Wartezeit? Weil die Regeln für Domain-Übertragungen Geduld belohnen. „ICANN verbietet die Übertragung einer Domain für 60 Tage nach der Aktualisierung der Kontaktinformationen." Ein Angreifer, der im September still einen Registrar-Account übernimmt, kann die Domain nicht sofort wegschaffen – also wartete er, ließ die Zeit verstreichen und machte seinen Zug, sobald die Sperre ablief.
Als sie sich schließlich bewegten, wuschen sie den Namen durch Registrare und Grenzen, um die Wiederherstellung zu erschweren. The Register dokumentierte den ersten Schritt: „Die Domain wurde im Dezember zum BizCN-Registrar übertragen, aber die Nameserver wurden nicht geändert." BleepingComputer verfolgte denselben Weg geografisch: Die Domain „wurde im September 2020 bei Network Solutions gestohlen, am Weihnachtstag zu einem Registrar in China übertragen" bevor der letzte Schritt im Januar folgte, als „die Domain erneut im Januar zu einem anderen Registrar, Key Systems, GmbH, übertragen wurde."
Und dann versuchten sie, Kasse zu machen. Mit dem frisch verlegten Namen versuchte „der unbefugte Registrant, die Domain für 190.000 Dollar auf dem Domain-Markt Afternic zu verkaufen." Ein dreißig Jahre altes Community-Asset, per Papierkram gestohlen, wie altes Mobiliar zum Verkauf angeboten.
Die Wiederherstellung: Wochenlanger Papierkram, um Papierkram rückgängig zu machen
Dieselbe Maschinerie, die den Diebstahl ermöglicht hatte – Registrare, Registries und Eigentumseinträge –, war auch der einzige Weg zurück. Es gab keinen Server zu sichern und keinen Patch zu installieren. Jemand musste beweisen, durch die Registrar- und Registry-Kette, dass Tom Christiansen der echte Eigentümer und der neue „Besitzer" ein Betrüger war.
Diese Arbeit begann innerhalb von Tagen. Bis zum 30. Januar berichtete der Perl NOC, dass „Network Solutions mit Tom Christiansen, dem rechtmäßigen Registranten, an der Wiederherstellung der Perl.com-Domain arbeitet." Die Bemühungen „führten schließlich zur Rückgabe der Domain an ihren früheren Eigentümer Tom Christiansen Anfang Februar."
Aber „wiederhergestellt" bedeutete nicht „repariert". brian d foys eigene Formulierung erfasst sowohl die Erleichterung als auch die unvollendete Arbeit: „Die Perl.com-Domain ist wieder in den Händen von Tom Christiansen und wir arbeiten an den verschiedenen Sicherheitsupdates, damit dies nicht noch einmal passiert." Da die Domain auf eine mit Malware verbundene IP gezeigt hatte, hatten Sicherheitsprodukte sie auf die schwarze Liste gesetzt und manche DNS-Resolver blockierten sie. Selbst nachdem der Registry-Eintrag korrekt war, dauerte es weitere Wochen, bis der Name in den Reputationssystemen des Internets wieder als vertrauenswürdig eingestuft wurde – ein langer Schwanz, der das gesamte Martyrium auf rund zwei Monate ausdehnte.
Die Schlagzeile, in foys Worten, war fast untertrieben: „Für eine Woche verloren wir die Kontrolle über die Perl.com-Domain." Eine Woche aktiver Diebstahl; Monate latenter Kompromiss davor; Wochen der Aufräumarbeiten danach.
Was dies über die Sicherheit von Registrar-Accounts und langgehaltene Domains lehrt
Der perl.com-Diebstahl ist genau deshalb so lehrreich, weil nichts Exotisches passierte. Auf das Wesentliche reduziert, sind die Lektionen beunruhigend allgemein:
-
Ihr Registrar-Account ist das eigentliche Kronjuwel. Alle härten ihre Server und ihren DNS-Host. Aber der Eigentumseintrag einer Domain liegt beim Registrar, und dieser Account ist oft kaum mehr als durch ein Passwort und ein Support-Team geschützt, das zu Änderungen überredet werden kann. perl.com wurde dort gestohlen, nicht am Rand.
-
Social Engineering schlägt technische Kontrollen. Kein Exploit, keine Malware auf der Seite des Opfers – nur „gefälschte Dokumente und so weiter", die überzeugend genug waren, um einen echten Eintrag zu verschieben. Zwei-Faktor-Authentifizierung an Ihrem eigenen Login hilft nicht, wenn die Menschen beim Registrar davon überzeugt werden können, sie zu umgehen.
-
Langgehaltene Domains sind weiche Ziele. Ein Name, der Anfang der 90er registriert und dreißig Jahre lang auf Autopilot erneuert wurde, neigt dazu, veraltete Kontaktdaten, einen einzigen menschlichen Ausfallpunkt und einen Eigentümer anzusammeln, der den WHOIS-Eintrag nicht täglich überwacht. Stille Stabilität ist genau das, was einen September-Kompromiss bis Januar unbemerkt bleiben lässt.
-
Die Übertragungsregeln wirken in beide Richtungen. Die 60-tägige Übertragungssperre nach einer Aktualisierung, die Eigentümer schützen soll, wurde zum Wartezimmer des Angreifers. Geduld plus Wäsche über Registrare und Grenzen hinweg verwandelte eine schnelle Lösung in eine mehrparteien-, mehrwöchige Wiederherstellung.
-
Wiederherstellung ist langsamer als Diebstahl. Den Namen zu stehlen erforderte ein gefälschtes Dokument. Ihn zurückzubekommen erforderte Registrare, eine Registry, die Beweise des rechtmäßigen Eigentümers und dann wochenlangen Wiederaufbau der Reputation bei Blocklisten und Resolvern. Diebstahl ist eine Transaktion; Wiedergutmachung sind viele.
Die düstere Zusammenfassung: Bei einer Domain wie perl.com spielt die Stärke Ihres Passworts weniger eine Rolle als die Frage, ob Ihr Registrar dazu gebracht werden kann, es zu ignorieren.
Der Namefi-Blickwinkel
Jeder Schritt des perl.com-Diebstahls drehte sich um eine Schwäche: Eigentum war ein Eintrag im Account von jemand anderem, der von jedem geändert werden konnte, der den richtigen Support-Agenten überzeugen konnte. Der Angreifer brauchte nie die Schlüssel des Eigentümers. Er brauchte das Vertrauen des Registrars – und ein gefälschtes Stück Papier reichte aus, um ein dreißig Jahre altes Asset um den Planeten zu übertragen und zum Verkauf anzubieten.
Namefi ist nach der gegenteiligen Prämisse aufgebaut: dass Domain-Eigentum kryptografisch überprüfbar und schwer stillschweigend umzuschreiben sein sollte. Indem Domain-Kontrolle als tokenisiertes, On-Chain-Asset dargestellt wird, das mit DNS kompatibel bleibt, hört die maßgebliche Antwort auf „Wem gehört dieser Name?" auf, eine veränderliche Zeile in der Datenbank eines Registrars zu sein, die ein überzeugender Anruf kippen kann. Übertragungen werden zu signierten, prüfbaren Ereignissen statt zu Back-Office-Papierkram – und ein betrügerischer „Eigentümerwechsel" hat keine stille Tür mehr, durch die er gehen kann.
Es hätte perl.com nicht über Nacht unstehlbar gemacht; Registrare und Registries sind immer noch Teil der Kette. Aber es greift genau den Fehlermodus an, der diesen Vorfall definierte – die Lücke zwischen dreißig Jahre lang für einen Namen bezahlen und in der Lage sein, manipulationssicher zu beweisen, dass er einem gehört – und es verkleinert das Fenster, in dem eine gestohlene Domain gewaschen werden kann, bevor jemand Einspruch erheben kann.
perl.com hat seine Eingangstür zurückbekommen. Die härtere Frage, die diese Episode hinterlässt, ist, warum das Schloss jemals etwas war, das ein Fremder mit den richtigen Papieren öffnen konnte.
Quellen und weiterführende Lektüre
- The Perl NOC — perl.com gekapert
- perl.com (brian d foy) — Die Entführung von Perl.com
- BleepingComputer — Perl.com-Domain gestohlen, verwendet jetzt IP-Adresse, die mit Malware verbunden ist
- The Register — Perl.com-Diebstahl auf Social-Engineering-Angriff zurückgeführt
- SecurityWeek — Hacker kontrollierten die Perl.com-Domain Monate vor dem Hijack
- Security Affairs — Angreifer übernahmen die Perl.com-Domain im September 2020
- The Daily Swig (PortSwigger) — Domain der beliebten Programmier-Website Perl.com in einem 'Hack' gestohlen
- Slashdot — Perl.com-Domain gestohlen, verwendet jetzt IP-Adresse vergangener Malware-Kampagnen
- INCIBE-CERT — Die perl.com-Domain wurde gekapert
- GIGAZINE — Perl.com-Redakteure erzählen die Wahrheit über den Perl.com-Domain-Hijacking-Fall
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.