Am 01.03.19 um 21:17 schrieb Michael Ströder:
On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible Daten verschiedener Regierungsorganisationen und privater Unternehmen abgegriffen. (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns...)
Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht möglich gewesen.
Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.
Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar. Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC RRs austauschen kann, dann ist doch nix gewonnen.
Wenn du gehacked wirst ist das immer Mist , mit oder ohne DNSSEC oder mit was auch immer...
BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass dann halt die Registrare und schlecht gewartete DNS-Server die PKI-Schwachpunkte sind.
Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es ist halt nicht der allein glücklich machende Ansatz und man muss es halt genau wie bei X.509-basierter PKI *richtig* machen.
Ciao, Michael.